欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

浅谈Flask cookie与密钥的安全性

来源:本站整理 作者:佚名 时间:2019-02-01 TAG: 我要投稿
最实用的解决方案就是生成一个UUID值。我们可以在类Unix系统上使用uuid或者uuidgen命令来完成该任务,或者在安装了Python环境的主机上执行如下命令:
$ python -c 'import uuid; print(uuid.uuid4());'
使用服务端会话
除了避免攻击者猜出秘钥之外,我们也可以使用服务端会话来避免攻击者查看会话的内容,此时攻击者只能得到一个唯一的token值。
对于Flask,我们可以安装Flask-Session包,然后在构建应用时进行初始化。
 
示例应用
Flask示例应用如下所示,其中使用了前文提到了缓解措施,可以加强会话的鲁棒性。
# Requirements: Flask, Flask-Session
import os
from flask import Flask, session
from flask_session import Session
app = Flask(__name__)
app.config['SECRET_KEY'] = os.urandom(64)
app.config['SESSION_TYPE'] = 'filesystem'
Session(app)
@app.route('/')
def index():
    if 'logged_in' not in session:
        session['logged_in'] = False
    if session['logged_in']:
        return 'You are logged in!'
    else:
        return 'Access Denied', 403
if __name__ == '__main__':
    app.run()
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载