flask中安全策略简要说明
问题:针对服务安全基础策略
策略一、接口入参长度限制
策略二、接口入参不接收特殊字符
解决方案:
一、flask对象实例化后,提供有config配置
app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024 # 设置为16MB
二、flask有提供参数校验前的函数,可以以装饰器的方式调用实现接收参数前的处理
from flask import Flask, request, jsonify
app = Flask(__name__)
# 定义一个函数来校验参数中是否包含特殊字符
def validate_parameters(params):
for key, value in params.items():
if not isinstance(value, str):
continue
if any(char in value for char in ['<', '>', '&', '"', "'", ';', '\\']):
return False
return True
@app.before_request
def before_request():
if request.method in ['POST', 'PUT']:
if 'application/json' in request.headers.get('Content-Type', ''):
params = request.get_json()
else:
params = request.form
if not validate_parameters(params):
return jsonify({'error': 'Parameters contain special characters'}), 400
@app.route('/your-endpoint', methods=['POST'])
def your_endpoint():
# 这里可以安全地使用参数,因为它们已经被校验过不包含特殊字符
data = request.get_json() if request.is_json else request.form
# 处理你的逻辑...
return jsonify({'message': 'Success'}), 200
if __name__ == '__main__':
app.run(debug=True)
小结:提供前置函数,这个思想非常值得学习。本来还在考虑,按正常操作,会需要给每一个路由都添加指定的方法来实现逻辑筛选,这种常规思维的方式会让工作量变的很大。做许多没有意义的事情。后续这个思想会需要继续进行深化