クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングは、任意のHTML（およびJavaScript）をWebサイトのコンテキストに挿入するという概念です。 これを修正するには、開発者はテキストを適切にエスケープして、任意のHTMLタグを含めないようにする必要があります。 詳細については、クロスサイトスクリプティングに関するウィキペディアの記事を参照してください。

Flaskは、特に明記されていない限り、すべての値を自動的にエスケープするようにJinja2を構成します。 これにより、テンプレートで発生するすべてのXSSの問題が除外されますが、注意が必要な場所は他にもあります。

• Jinja2の助けを借りずにHTMLを生成する
• ユーザーから送信されたデータに対してMarkupを呼び出す
• アップロードされたファイルからHTMLを送信する場合は、絶対に行わないでください。この問題を防ぐには、Content-Disposition: attachmentヘッダーを使用してください。
• アップロードされたファイルからテキストファイルを送信します。 一部のブラウザは、最初の数バイトに基づいてコンテンツタイプの推測を使用しているため、ユーザーはブラウザをだましてHTMLを実行できます。

非常に重要なもう1つのことは、引用符で囲まれていない属性です。 Jinja2はHTMLをエスケープすることでXSSの問題からユーザーを保護できますが、属性インジェクションによるXSSから保護できないことが1つあります。 この可能性のある攻撃ベクトルに対抗するには、属性でJinja式を使用する場合は、必ず二重引用符または一重引用符で属性を引用してください。

<input value="{{ value }}">

なぜこれが必要なのですか？ そうしないと、攻撃者がカスタムJavaScriptハンドラーを簡単に挿入する可能性があるためです。 たとえば、攻撃者は次のHTML + JavaScriptを挿入する可能性があります。

onmouseover=alert(document.cookie)

その後、ユーザーがマウスを入力の上に移動すると、アラートウィンドウにCookieが表示されます。 ただし、Cookieをユーザーに表示する代わりに、優れた攻撃者が他のJavaScriptコードを実行する可能性もあります。 CSSインジェクションと組み合わせて、攻撃者は要素をページ全体に入力させることもできるため、ユーザーはページ上の任意の場所にマウスを置くだけで攻撃をトリガーできます。

Jinjaのエスケープが保護しないXSS問題の1つのクラスがあります。 aタグのhref属性には、 javascript： URIを含めることができます。これは、適切に保護されていない場合、クリックするとブラウザが実行します。

<a href="{{ value }}">click here</a>
<a href="javascript:alert('unsafe');">click here</a>

これを防ぐには、コンテンツセキュリティポリシー（CSP）応答ヘッダーを設定する必要があります。

クロスサイトリクエストフォージェリ（CSRF）

もう1つの大きな問題はCSRFです。 これは非常に複雑なトピックであり、ここでは詳しく説明しません。それが何であるか、および理論的にそれを防ぐ方法についてのみ説明します。

認証情報がCookieに保存されている場合は、暗黙的な状態管理があります。 「ログイン中」の状態はCookieによって制御され、そのCookieはリクエストごとにページに送信されます。 残念ながら、これにはサードパーティのサイトによってトリガーされたリクエストが含まれます。 それを覚えていない場合、ソーシャルエンジニアリングでアプリケーションのユーザーをだまして、知らないうちに愚かなことをする人がいるかもしれません。

POSTリクエストを送信すると、ユーザーのプロファイルが削除される特定のURLがあるとします（たとえば、http://example.com/user/delete）。 攻撃者がJavaScriptを使用してそのページにPOSTリクエストを送信するページを作成した場合、攻撃者は一部のユーザーをだましてそのページをロードするだけで、プロファイルが削除されてしまいます。

何百万人もの同時ユーザーでFacebookを運営していて、誰かが小さな子猫の画像へのリンクを送信するとします。 ユーザーがそのページにアクセスすると、ふわふわの猫の画像を見ているときにプロフィールが削除されます。

どうすればそれを防ぐことができますか？ 基本的に、サーバー上のコンテンツを変更するリクエストごとに、ワンタイムトークンを使用して、それをCookie に保存し、もフォームデータとともに送信する必要があります。 サーバーでデータを再度受信した後、2つのトークンを比較して、それらが等しいことを確認する必要があります。

なぜFlaskはあなたのためにそれをしないのですか？ これが発生する理想的な場所は、Flaskには存在しないフォーム検証フレームワークです。

JSONセキュリティ

Flask 0.10以前では、jsonify()はトップレベルの配列をJSONにシリアル化しませんでした。 これは、ECMAScript4のセキュリティの脆弱性が原因でした。

ECMAScript 5はこの脆弱性を解消したため、非常に古いブラウザーのみが依然として脆弱です。 これらのブラウザにはすべてその他のより深刻な脆弱性があるため、この動作が変更され、jsonify()がアレイのシリアル化をサポートするようになりました。

セキュリティヘッダー

ブラウザは、セキュリティを制御するためにさまざまな応答ヘッダーを認識します。 アプリケーションで使用するために、以下の各ヘッダーを確認することをお勧めします。 Flask-Talisman 拡張機能を使用して、HTTPSとセキュリティヘッダーを管理できます。

response.headers['Strict-Transport-Security'] = 'max-age=31536000; includeSubDomains'

response.headers['Content-Security-Policy'] = "default-src 'self'"

response.headers['X-Content-Type-Options'] = 'nosniff'

response.headers['X-Frame-Options'] = 'SAMEORIGIN'

response.headers['X-XSS-Protection'] = '1; mode=block'

app.config.update(
    SESSION_COOKIE_SECURE=True,
    SESSION_COOKIE_HTTPONLY=True,
    SESSION_COOKIE_SAMESITE='Lax',
)

response.set_cookie('username', 'flask', secure=True, httponly=True, samesite='Lax')

# cookie expires after 10 minutes
response.set_cookie('snakes', '3', max_age=600)

app.config.update(
    PERMANENT_SESSION_LIFETIME=600
)

@app.route('/login', methods=['POST'])
def login():
    ...
    session.clear()
    session['user_id'] = user.id
    session.permanent = True
    ...