flask的安全注意事项，如何防范XSS、CSRF、JSON安全

参考官方文档：http://docs.jinkan.org/docs/flask/security.html

一、xss

Flask 配置 Jinja2 自动转义全部值，除非显式地指明不转义。这就排除了模板致使的全部 XSS 问题，可是你仍须要在其它的地方当心:

• 生成 HTML 而不使用 Jinja2
• 在用户提交的数据上调用了 Markup
• 发送上传的 HTML 文件，永远不要这么作，使用 Content-Disposition: attachment标头来避免这个问题
• 发送上传的文本文件。一些浏览器使用基于开头几个字节的 content-type 猜想，因此用户可能欺骗浏览器执行 HTML

另外一件很是重要的事情是未用引号包裹的属性。虽然 Jinja2 能够经过转义 HTML 来保护你免受 XSS 问题，仍有一种状况，它不能保护你: 属性注入的 XSS 。为了应对这种攻击媒介，确保当在属性中使用 Jinja 表达式时，始终用单引号或双引号包裹属性:

<a href="{{ href }}">the text</a> 

为何这是必要的？由于若是你不这么作，攻击者能够容易地注入自制的 JavaScript 处理器。譬如一个攻击者能够注入这段 HTML+JavaScript:

onmouseover=alert(document.cookie)

当用户鼠标通过这个连接， 会在警告窗口里把 cookie 显示给用户。一个精明的攻击者可能也会执行其它的 JavaScript 代码，而不是把 cookie 显示给用户。 同 CSS 注入联系在一块儿，攻击者甚至使得元素填满整个页面，这样用户鼠标在页面上的任何地方都会触发攻击。

二、csrf

flask是没有抵抗csrf能力的，建议重要操做都要有一个一次性令牌