当前位置: 首页 > news >正文

后端安全防护:XSS、CSRF、SQL 注入防护技巧

news 2026/5/12 10:49:26

XSS 防护

使用内容安全策略(CSP)和输入过滤来防止跨站脚本攻击(XSS)。在 HTTP 响应头中添加 CSP 策略,限制脚本来源。

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'

在服务器端对用户输入进行 HTML 转义,防止恶意脚本注入。

from html import escape def sanitize_input(user_input): return escape(user_input)

CSRF 防护

使用 CSRF 令牌验证来防止跨站请求伪造(CSRF)。在表单或请求头中添加令牌,并在服务器端验证。

from flask_wtf.csrf import CSRFProtect app = Flask(__name__) app.config['SECRET_KEY'] = 'your-secret-key' csrf = CSRFProtect(app)

https://www.zhihu.com/zvideo/1993913105680450518/
https://www.zhihu.com/zvideo/1993913105680450518
https://www.zhihu.com/zvideo/1993913095148554053/
https://www.zhihu.com/zvideo/1993913095148554053
https://www.zhihu.com/zvideo/1993913094448099722/
https://www.zhihu.com/zvideo/1993913094448099722
https://www.zhihu.com/zvideo/1993913076018325469/
https://www.zhihu.com/zvideo/1993913076018325469
https://www.zhihu.com/zvideo/1993913074168635650/
https://www.zhihu.com/zvideo/1993913074168635650
https://www.zhihu.com/zvideo/1993913065146718075/
https://www.zhihu.com/zvideo/1993913065146718075
https://www.zhihu.com/zvideo/1993913064832123499/
https://www.zhihu.com/zvideo/1993913064832123499
https://www.zhihu.com/zvideo/1993913061459919304/
https://www.zhihu.com/zvideo/1993913061459919304
https://www.zhihu.com/zvideo/1993913060977549605/
https://www.zhihu.com/zvideo/1993913060977549605
https://www.zhihu.com/zvideo/1993913058624558590/
https://www.zhihu.com/zvideo/1993913058624558590
https://www.zhihu.com/zvideo/1993913054266668349/
https://www.zhihu.com/zvideo/1993913054266668349
https://www.zhihu.com/zvideo/1993913037950828977/
https://www.zhihu.com/zvideo/1993913037950828977

在 HTML 表单中添加 CSRF 令牌。

<form method="post"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"> <!-- 其他表单字段 --> </form>

SQL 注入防护

使用参数化查询或 ORM 来防止 SQL 注入。避免直接拼接 SQL 语句。

import sqlite3 def get_user(username): conn = sqlite3.connect('database.db') cursor = conn.cursor() cursor.execute("SELECT * FROM users WHERE username = ?", (username,)) user = cursor.fetchone() conn.close() return user

使用 ORM 如 SQLAlchemy 可以进一步降低风险。

from sqlalchemy import create_engine from sqlalchemy.orm import sessionmaker engine = create_engine('sqlite:///database.db') Session = sessionmaker(bind=engine) session = Session() user = session.query(User).filter_by(username=username).first()

其他安全措施

确保所有敏感操作(如登录、支付)使用 HTTPS 加密传输。

from flask import Flask from flask_sslify import SSLify app = Flask(__name__) sslify = SSLify(app)

定期更新依赖库以修复已知漏洞。

pip install --upgrade flask sqlalchemy
http://www.jsqmd.com/news/232078/

相关文章:

  • 通俗解释Batocera游戏整合包与Pi 4硬件匹配逻辑
  • Go 语言后端开发:从入门到实战的系统化教程
  • ResNet18应用开发:智能相册自动标签系统
  • vivado2025中FPGA与DSP协同通信系统全面讲解
  • Altium Designer多层板布局:工业环境全面讲解
  • ResNet18案例研究:智能工厂质检系统开发
  • ResNet18技术解析:ImageNet预训练模型的应用
  • ResNet18性能优化:减少80%响应时间
  • 手把手教你用Pspice仿真Boost变换器(新手教程)
  • ResNet18性能优化:减少40%内存消耗的方法
  • 深度剖析vivado除法器ip核在复数运算中的应用
  • ResNet18部署案例:智能农业监测系统
  • HardwareSelector 单元网格面鼠标选择
  • ResNet18实战案例:服装品类识别系统部署
  • ResNet18应用指南:智能家居安防系统
  • ResNet18部署教程:集成WebUI的完整步骤
  • 896785
  • ResNet18实战教程:工业缺陷检测系统搭建指南
  • CreateBFont 2D图像的高斯平滑并转化为3D几何体
  • 3541365413
  • ResNet18实战案例:工业机器人视觉
  • ResNet18实战教程:工业缺陷检测系统
  • ResNet18实战:构建高精度图像分类服务
  • ResNet18优化实战:推理吞吐量提升
  • ResNet18部署详解:Serverless架构图像识别
  • Multisim14使用教程:傅里叶分析功能操作指南
  • CubeAxesActor 为几何体添加边框和坐标轴
  • MOSFET基本工作原理图解:开关状态转换详解
  • ResNet18代码详解:从模型加载到推理全流程
  • ResNet18实战指南:构建智能农业监测系统