摘要:
参考官方文档:http://docs.jinkan.org/docs/flask/security.html 1、xss Flask 配置 Jinja2 自动转义所有值,除非显式地指明不转义。这就排除了模板导致的所有 XSS 问题,但是你仍需要在其它的地方小心: 生成 HTML 而不使用 Jinja 阅读全文
摘要:
如图flask的app.py里显示app的默认配置,httponly默认值为true,所以如果开发者不修改这个配置的话,攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。 Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息 阅读全文
摘要:
一、XXE,即XML External Entity,XML外部实体。ENTITY 实体,在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一 阅读全文