Python安全无标准术语,需据场景区分:Web框架权限、密码学库用法、安全编码实践;HMAC须用hmac.HMAC类防扩展攻击;Django login_required失效多因装饰错误或AJAX请求;ast.literal_eval防RCE但有长度与兼容限制。
这个标题没有实际技术指向,无法对应到具体可操作的问题或知识点。
Python 安全系统本身不是标准术语——它可能指代:
- Web 框架(如
Django、Flask)中的认证/授权机制 - 密码学库(如
cryptography、PyCryptodome)的使用方式 - 安全编码实践(如防止 SQL 注入、XSS、RCE)
- 或者是某套商业课程自定义的命名,缺乏公开共识
如果你遇到的具体问题是:
如何用 cryptography 库正确生成和验证 HMAC 签名
常见错误是直接拼接密钥和消息后用 hashlib.sha256() 计算,这会导致长度扩展攻击风险。必须用 hmac.HMAC 类,并确保密钥长度符合规范(如 SHA-256 要求密钥不短于 32 字节,否则内部会先哈希)。
立即学习“Python免费学习笔记(深入)”;
import hmac import hashlibkey = b"my_secret_key" message = b"hello world" sig = hmac.new(key, message, hashlib.sha256).digest()
Django 中 login_required 不跳转登录页的典型原因
多出现在以下情况:
- 视图函数未被正确装饰(比如写在类方法里但没用
@method_decorator) -
settings.LOGIN_URL是相对路径但没配BASE_DIR或没启用django.contrib.staticfiles - 请求头包含
X-Requested-With: XMLHttpRequest,Django 默认返回 403 而非重定向
用 ast.literal_eval 替代 eval 防止 RCE 的边界条件
ast.literal_eval 只允许基本字面量(str、int、list、dict 等),但注意:
- 它不校验字符串内容长度,超长输入可能引发内存耗尽
- 不能解析带前缀的数字(如
0x1F在 Python 3.8+ 才支持,旧版本报错) - 空字节
\x00在某些场景下可能绕过前期过滤,仍需结合str.replace('\x00', '')
真正卡住你的,往往不是“学没学过”,而是某个配置项写错位置、某个异常没被捕获、或者文档里没写的默认行为。盯着报错信息里的那一行 File "...", line X,比看第 560 讲标题有用得多。
