python-flask-web-server-security

# Flask (Python) Web 安全规范 (Flask 3.1.x, Python 3.x) 本文档旨在作为一份**安全规范**，支持： 1) **默认安全的代码生成**：用于新的 Flask 代码。 2) **安全审查/漏洞挖掘**：针对现有 Flask 代码（被动式“工作时发现问题”和主动式“扫描仓库并报告发现”）。 本文档特意编写为一系列**规范性要求**（“必须/应该/可以”）以及**审计规则**（不良模式是什么样、如何检测它们、以及如何修复/缓解它们）。 -------------------------------------------------------------------- ## 0) 安全性、边界和防滥用约束（必须遵守） - 禁止请求、输出、记录或提交机密信息（API 密钥、密码、私钥、会话 Cookie、SECRET_KEY）。 - 禁止通过禁用保护措施来“修复”安全性（例如，关闭 CSRF，放宽 CORS，禁用转义，禁用身份验证检查）。 - 必须在审计期间提供**基于证据的发现**：引用文件路径、代码片段和证明该声明的配置值。 - 必须诚实地对待不确定性：如果基础设施（反向代理、WAF、CDN）中可能存在保护措施，请将其报告为“在应用代码中不可见；在运行时/配置处验证”。 -------------------------------------------------------------------- ## 1) 操作模式 ### 1.1 生成模式（默认） 当被要求编写新的 Flask 代码或修改现有代码时： - 必须遵循本规范中的每一项**必须**要求。 - 应该遵循每一项**应该**要求，除非用户明确表示否则。 - 必须优先使用默认安全的 API 和经过验证的库，而不是自定义安全代码。 - 必须避免引入新的风险汇点（来自字符串的模板渲染、Shell 执行、动态导入、不安全的重定向、将用户文件作为 HTML 提供等）。 ### 1.2 被动审查模式（编辑时始终开启） 在 Flask 仓库的任何地方工作时（即使用户没有要求进行安全扫描）： - 必须“注意到”所触及/附近代码中违反本规范的行为。 - 应该在问题出现时提及，并提供简要说明 + 安全修复方案。 ### 1.3 主动审计模式（显式扫描请求） 当用户要求“扫描”、“审计”或“挖掘漏洞”时： - 必须系统地搜索代码库中违反本规范的行为。 - 必须以结构化格式输出发现结果（见 §2.3）。 推荐的审计顺序： 1) 应用入口点 / 部署脚本 / Dockerfiles / Procfiles。 2) Flask 配置和环境处理。 3) 身份验证 + 会话