flask security Attention

摘要:flask security Attention


Flask有一个模式叫做调试模式,可以很方便的显示错误信息等等内容。同时,也可以很方便的执行一些python命令,如下图:

debugger

同时这也会带来一定的安全风险:威胁你的服务器安全。

官方在文档中也特意提醒:

Attention
Even though the interactive debugger does not work in forking environments (which makes it nearly impossible to use on production servers), it still allows the execution of arbitrary code. This makes it a major security risk and therefore it must never be used on production machines.

因此在部署flask文档到线上时一定要注意去除掉debug选项,或设置为Flase。

感谢GaRY同学的分享 :) 之前没有注意到过,不过我的uwsgi配置会阻止debug模式的执行。

------------------------------

文章的授权使用CC BY-ND2.5协议。凡是标示“转载”的文章,均来源于网络并尽可能标注作者。如果有侵犯您的权益,请及时联系删除或者署名、授权。


Gtalk/Email: cmd4shell  [at]  gmail.com