《Python实战进阶》No 10：基于Flask案例的Web 安全性：防止 SQL 注入、XSS 和 CSRF 攻击

第10集：Web 安全性：防止 SQL 注入、XSS 和 CSRF 攻击

在现代 Web 开发中，安全性是至关重要的。无论是用户数据的保护，还是系统稳定性的维护，开发者都需要对常见的 Web 安全威胁有深刻的理解，并采取有效的防护措施。本集聚焦于三种最常见的 Web 安全威胁：SQL 注入、跨站脚本攻击（XSS） 和跨站请求伪造（CSRF），通过一个加固前带有漏洞的代码案例，和一个加固后补全漏洞的代码案例，帮助读者深刻认识如何在 Python Web 应用中防范这些攻击。

---

一、SQL 注入攻击及其防御

1. 什么是 SQL 注入？
SQL 注入是一种利用应用程序未能正确过滤用户输入的漏洞，通过注入恶意 SQL 查询语句来操纵数据库的行为。攻击者可以借此获取敏感信息、篡改数据，甚至删除整个数据库[[7]]。

2. 防御 SQL 注入的关键策略

• 参数化查询：这是最基础也是最有效的防范措施。参数化查询将用户输入的数据与 SQL 命令分开，避免了恶意输入被解释为 SQL 指令[[8]]。

  # 使用 SQLAlchemy 的参数化查询示例
  from sqlalchemy import text
  query = text("SELECT * FROM users WHERE username = :username")
  result = db.execute(query, {"username": user_input})
  

• 最小权限原则：限制数据库用户的权限，确保即使攻击者成功注入 SQL 语句，也无法对数据库造成严重破坏[[4]]。
• 输入验证和过滤：对用户输入进行严格的验证，确保其符合预期格式和类型[[3]]。
• 使用 Web 应用防火墙（WAF）：部署 WAF 可以检测并阻止潜在的 SQL 注入攻击[[3]]。

---

二、跨站脚本攻击（XSS）及其防御

1. 什么是 XSS 攻击？
XSS（Cross-Site Scripting）是指攻击者通过在 Web 页面中插入恶意脚本代码，当其他用户浏览该页面时，恶意脚本会在用户的浏览器上执行，从而窃取用户信息或实施其他恶意行为[[5]]。

2. XSS 的常见类型

• 存储型 XSS：恶意脚本被永久存储在目标服务器上（如数据库），并通过正常页面加载传播给其他用户。
• 反射型 XSS：恶意脚本通过 URL 参数传递，并在页面加载时直接执行。
• DOM 型 XSS：攻击发生在客户端，不涉及服务器端的处理。

3. 防御 XSS 的关键策略

• 输入验证：确保用户输入的内容符合预期格式，并拒绝任何包含非法字符的输入[[10]]。
• 输出编码：在将用户输入的内容返回到前端时，对其进行 HTML 编码，防止恶意脚本被执行[[10]]。

  # 使用 Django 的 escape 函数对输出进行编码
  from django.utils.html import escape
  safe_output = escape(user_input)
  

• 启用内容安全策略（CSP）：通过 HTTP 头部设置 CSP，限制页面中可以加载的资源来源，减少 XSS 攻击的可能性[[5]]。

---

三、跨站请求伪造（CSRF）及其防御

1. 什么是 CSRF 攻击？
CSRF（Cross-Site Request Forgery）是指攻击者诱导用户访问恶意网站，然后利用用户的已登录状态向目标网站发起未经授权的请求。例如，攻击者可能通过伪造表单提交操作，导致用户无意中修改账户信息或转账资金[[6]]。

2. 防御 CSRF 的关键策略

• 使用 CSRF Token：在表单中嵌入一个随机生成的 Token，并在服务器端验证该 Token 是否合法。这样可以确保请求是由合法用户发起的[[9]]。

  # Flask-WTF 自动生成 CSRF Token 示例
  from flask_wtf.csrf import CSRFProtect
  app = Flask(__name__)
  app.config['SECRET_KEY'] = 'your_secret_key'
  csrf = CSRFProtect(app)
  

• 检查 Referer 头部：验证请求是否来自合法的源地址[[9]]。
• SameSite Cookie 属性：通过设置 Cookie 的 SameSite 属性为 Strict 或 Lax，限制 Cookie 在跨站请求中的发送[[9]]。

---

四、总结与最佳实践

以下是一个基于 Flask 的完整案例，综合运用 SQL 注入、XSS 和 CSRF 的防御技术，并结合知识库中的参考资料进行说明。

---

案例：用户注册与登录系统（安全加固版）

1. 项目结构

myapp/
├── app.py          # 主程序
├── models.py       # 数据库模型
├── templates/
│   ├── register.html
│   ├── login.html
│   └── profile.html
└── requirements.txt

---

2. 核心代码实现

2.1 防止 SQL 注入
使用 SQLAlchemy 的参数化查询，避免直接拼接 SQL 语句（参考 [[3]][[8]]）。

# models.py
from flask_sqlalchemy import SQLAlchemydb = SQLAlchemy()class User(db.Model):id = db.Column(db.Integer, primary_key=True)username = db.Column(db.String(80), unique=True, nullable=False)password = db.Column(db.String(120), nullable=False)

错误示例（直接拼接 SQL）：

# 危险！容易被 SQL 注入
query = f"SELECT * FROM users WHERE username = '{user_input}'"

正确示例（参数化查询）：

# app.py
from models import User@app.route('/login', methods=['POST'])
def login():username = request.form['username']user = User.query.filter_by(username=username).first()  # 安全查询# ...后续验证逻辑

---

2.2 防止 XSS 攻击
在模板中自动转义用户输入（参考 [[2]][[10]]）。

<!-- templates/profile.html -->
<!-- 使用 Jinja2 的自动转义功能 -->
<p>欢迎, {{ user.username | safe }}!</p>  <!-- 错误：禁用转义会引发 XSS -->
<p>欢迎, {{ user.username }}!</p>         <!-- 正确：默认自动转义 -->

手动防御：在视图函数中对输出编码：

from markupsafe import escape@app.route('/profile/<username>')
def profile(username):safe_username = escape(username)  # 转义特殊字符return render_template('profile.html', username=safe_username)

---

2.3 防止 CSRF 攻击
使用 Flask-WTF 生成和验证 CSRF Token（参考 [[9]]）。

# app.py
from flask_wtf.csrf import CSRFProtectapp = Flask(__name__)
app.config['SECRET_KEY'] = 'your-secret-key'
csrf = CSRFProtect(app)  # 启用全局 CSRF 保护@app.route('/register', methods=['GET', 'POST'])
def register():form = RegistrationForm()  # 继承自 FlaskFormif form.validate_on_submit():# 处理注册逻辑return render_template('register.html', form=form)

<!-- templates/register.html -->
<form method="POST">{{ form.hidden_tag() }}  <!-- 自动生成 CSRF Token -->{{ form.username.label }} {{ form.username() }}{{ form.password.label }} {{ form.password() }}<input type="submit" value="注册">
</form>

---

3. 综合防御策略

1. 输入验证：使用 WTForms 对用户名和密码格式进行校验。

   from wtforms import StringField, PasswordField
   from wtforms.validators import DataRequired, Lengthclass RegistrationForm(FlaskForm):username = StringField('用户名', validators=[DataRequired(), Length(max=80)])password = PasswordField('密码', validators=[DataRequired(), Length(min=8)])
   

2. 内容安全策略（CSP）
   通过 HTTP 头限制脚本来源（参考 [[5]]）：

   @app.after_request
   def set_csp(response):response.headers['Content-Security-Policy'] = "default-src 'self'; script-src 'self'"return response
   

3. SameSite Cookie 属性
   防止跨站请求携带 Cookie：

   app.config['SESSION_COOKIE_SAMESITE'] = 'Lax'
   

---

4. 测试与验证

• SQL 注入测试：尝试输入 ' OR 1=1--，验证是否无法绕过登录。
• XSS 测试：输入 <script>alert('xss')</script>，验证是否被转义。
• CSRF 测试：使用 Postman 直接提交表单，验证是否因缺少 Token 被拦截。

---

以下通过两套正反代码及攻击代码示例，让读者更深刻认识本文内容。

login.html 代码

<!-- templates/login.html -->
<!DOCTYPE html>
<html>
<head><title>登录</title>
</head>
<body><h2>用户登录</h2><form method="POST">{{ form.hidden_tag() }}  <!-- CSRF Token --><div>{{ form.username.label }}<br>{{ form.username(size=32) }}</div><div>{{ form.password.label }}<br>{{ form.password(size=32) }}</div><div><input type="submit" value="登录"></div></form>
</body>
</html>

---

完整代码示意：无防护措施的代码及攻击示例

1.1 存在漏洞的代码（SQL 注入 + XSS）

# app.py（错误示例）
from flask import Flask, request, render_template_stringapp = Flask(__name__)# 模拟用户数据库
users = {"admin": "admin123"
}@app.route('/login', methods=['GET', 'POST'])
def login():if request.method == 'POST':username = request.form['username']password = request.form['password']# 危险！直接拼接 SQL 查询（假设使用 SQLite）query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"# 模拟查询结果（实际场景中可能直接执行 SQL）if username in users and users[username] == password:return f"欢迎，{username}！"  # 未转义输出，存在 XSSelse:return "登录失败"return render_template_string('''<form method="POST">用户名：<input type="text" name="username"><br>密码：<input type="password" name="password"><br><input type="submit" value="登录"></form>''')

1.2 攻击示例

• SQL 注入攻击：
  输入用户名为 admin’ OR ‘1’ = '1，密码任意(假设为 a_random_password)，此时完美绕过验证并执行了查询语句：

  SELECT * FROM users WHERE username = 'admin'  OR  '1' = '1' AND password = 'a_random_password'
  

  后果：攻击者无需密码即可登录任意账户。

• XSS 攻击：
  输入用户名为 <script>alert('XSS')</script>，密码任意：

  return f"欢迎，{username}！"  # 未转义输出
  

  后果：恶意脚本在用户浏览器执行，窃取 Cookie 或重定向到钓鱼网站。

---

完整代码示意：有防护措施的代码及成功防御

2.1 安全加固的代码

# app.py（正确示例）
from flask import Flask, request, render_template
from flask_wtf.csrf import CSRFProtect
from wtforms import StringField, PasswordField, validators
from werkzeug.security import check_password_hash
from models import User  # 假设使用 SQLAlchemy 模型app = Flask(__name__)
app.config['SECRET_KEY'] = 'your-secret-key'
csrf = CSRFProtect(app)  # 启用 CSRF 保护class LoginForm(FlaskForm):username = StringField('用户名', [validators.DataRequired()])password = PasswordField('密码', [validators.DataRequired()])@app.route('/login', methods=['GET', 'POST'])
def login():form = LoginForm()if form.validate_on_submit():username = form.username.datapassword = form.password.data# 使用参数化查询防止 SQL 注入user = User.query.filter_by(username=username).first()if user and check_password_hash(user.password, password):return render_template('welcome.html', username=escape(username))  # 转义输出else:return "登录失败"return render_template('login.html', form=form)

2.2 防御效果

• SQL 注入防御：
  输入 admin’ OR ‘1’ = '1 会被参数化查询自动转义为字符串，无法破坏 SQL 语法。

  SELECT * FROM users WHERE username = ''admin'  OR  '1' = '1''  -- 无效查询
  

• XSS 防御：
  输入 <script>alert('XSS')</script> 会被 Jinja2 自动转义为：

  <script>alert('XSS')</script>
  

  浏览器不会执行脚本，仅显示纯文本 。

• CSRF 防御：
  未携带合法 Token 的请求会被 Flask-WTF 拦截，返回 403 错误 。

---

总结

攻击类型	无防护后果	防护措施	防护效果
SQL 注入	绕过登录验证	参数化查询	攻击失效
XSS	窃取用户会话	输出转义 + CSP	脚本被转义
CSRF	伪造请求操作	CSRF Token	请求被拦截

5. 总结

通过本案例，我们实现了：

1. 参数化查询（SQLAlchemy）防范 SQL 注入 [[3]][[8]]。
2. 模板转义 + CSP 防范 XSS [[2]][[10]]。
3. CSRF Token + SameSite Cookie 防范 CSRF [[9]]。

为了构建一个安全的 Web 应用，开发者需要从多个层面入手，结合技术手段和开发习惯来防范上述攻击：

1. 代码层面：始终使用参数化查询、输入验证和输出编码，避免直接拼接用户输入。
2. 架构层面：采用最小权限原则，限制数据库用户权限，并部署 WAF 等安全工具。
3. 框架支持：利用现代 Web 框架（如 Django、Flask）内置的安全机制，例如 CSRF Token 和 XSS 防护。
4. 定期测试：通过渗透测试和代码审计，发现并修复潜在的安全漏洞[[4]]。

安全性是一个持续改进的过程。随着攻击手段的不断演变，开发者也需要保持警惕，及时更新知识和技术，确保应用的安全性。

---

五、扩展阅读与参考资料

参考资料：

• Flask 综合案例开发流程
• REST API 安全设计
• CSRF 防御最佳实践
• 深入理解 SQL 注入：原理、攻击流程与防御措施 - Freebuf
• Web 安全头号大敌 XSS 漏洞解决最佳实践 - 腾讯云
• 防止 SQL 注入的四种方案 - CSDN博客

通过本集的学习，相信你已经掌握了如何在 Python Web 应用中防范 SQL 注入、XSS 和 CSRF 攻击的核心技能。下一集我们将进入微服务架构设计的世界，探索如何用 Python 构建高效、可扩展的分布式系统。敬请期待！