后端安全防护：XSS、CSRF、SQL 注入防护技巧

XSS 防护

使用内容安全策略（CSP）和输入过滤来防止跨站脚本攻击（XSS）。在 HTTP 响应头中添加 CSP 策略，限制脚本来源。

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'

在服务器端对用户输入进行 HTML 转义，防止恶意脚本注入。

from html import escape def sanitize_input(user_input): return escape(user_input)

CSRF 防护

使用 CSRF 令牌验证来防止跨站请求伪造（CSRF）。在表单或请求头中添加令牌，并在服务器端验证。

from flask_wtf.csrf import CSRFProtect app = Flask(__name__) app.config['SECRET_KEY'] = 'your-secret-key' csrf = CSRFProtect(app)

https://www.zhihu.com/zvideo/1993913105680450518/
https://www.zhihu.com/zvideo/1993913105680450518
https://www.zhihu.com/zvideo/1993913095148554053/
https://www.zhihu.com/zvideo/1993913095148554053
https://www.zhihu.com/zvideo/1993913094448099722/
https://www.zhihu.com/zvideo/1993913094448099722
https://www.zhihu.com/zvideo/1993913076018325469/
https://www.zhihu.com/zvideo/1993913076018325469
https://www.zhihu.com/zvideo/1993913074168635650/
https://www.zhihu.com/zvideo/1993913074168635650
https://www.zhihu.com/zvideo/1993913065146718075/
https://www.zhihu.com/zvideo/1993913065146718075
https://www.zhihu.com/zvideo/1993913064832123499/
https://www.zhihu.com/zvideo/1993913064832123499
https://www.zhihu.com/zvideo/1993913061459919304/
https://www.zhihu.com/zvideo/1993913061459919304
https://www.zhihu.com/zvideo/1993913060977549605/
https://www.zhihu.com/zvideo/1993913060977549605
https://www.zhihu.com/zvideo/1993913058624558590/
https://www.zhihu.com/zvideo/1993913058624558590
https://www.zhihu.com/zvideo/1993913054266668349/
https://www.zhihu.com/zvideo/1993913054266668349
https://www.zhihu.com/zvideo/1993913037950828977/
https://www.zhihu.com/zvideo/1993913037950828977

在 HTML 表单中添加 CSRF 令牌。

<form method="post"> <input type="hidden" name="csrf_token" value="{{ csrf_token() }}"> <!-- 其他表单字段 --> </form>

SQL 注入防护

使用参数化查询或 ORM 来防止 SQL 注入。避免直接拼接 SQL 语句。

import sqlite3 def get_user(username): conn = sqlite3.connect('database.db') cursor = conn.cursor() cursor.execute("SELECT * FROM users WHERE username = ?", (username,)) user = cursor.fetchone() conn.close() return user

使用 ORM 如 SQLAlchemy 可以进一步降低风险。

from sqlalchemy import create_engine from sqlalchemy.orm import sessionmaker engine = create_engine('sqlite:///database.db') Session = sessionmaker(bind=engine) session = Session() user = session.query(User).filter_by(username=username).first()

其他安全措施

确保所有敏感操作（如登录、支付）使用 HTTPS 加密传输。

from flask import Flask from flask_sslify import SSLify app = Flask(__name__) sslify = SSLify(app)

定期更新依赖库以修复已知漏洞。

pip install --upgrade flask sqlalchemy