如何在 Flask 應用程式中安全地提供靜態檔案？

在Flask 中提供靜態檔案：綜合指南

Flask 提供輕鬆的靜態檔案服務，通常用於HTML 頁面、樣式表和JavaScript 檔案。雖然看起來很簡單，但了解避免安全漏洞的建議方法至關重要。

使用資料夾設定

在生產中，將靜態檔案服務委託給專用網路伺服器，例如 Nginx 或 Apache，以有效處理高流量。配置這些伺服器以向包含靜態檔案的特定資料夾提供請求。

Flask 的靜態檔案路由

Flask 自動為位於「/」中的靜態檔案建立路由與 Flask 應用程式相鄰的「static」資料夾。可使用 url_for 存取此路由：

url_for('static', filename='js/analytics.js')

使用 send_from_directory

如果需要自訂路由或權限檢查，請考慮 send_from_rectory。它確保使用者提供的路徑包含在安全目錄中：

@app.route('/reports/<path:path>')
def send_report(path):
    return send_from_directory('reports', path)

安全注意事項

避免將 send_file 或 send_static_file 與使用者提供的路徑一起使用。這些方法容易受到目錄遍歷攻擊。相反，選擇 send_from_directory，它可以安全地處理已知目錄中使用者提供的路徑。

從記憶體中提供檔案

對於在記憶體中產生但未寫入的檔案系統，將 BytesIO 物件傳遞給 send_file。為無法推斷的文件元資料指定附加參數。

以上是如何在 Flask 應用程式中安全地提供靜態檔案？的詳細內容。更多資訊請關注PHP中文網其他相關文章！