Python Restful API中的XSS预防

我已经在Flask中编写了RESTful API。 我不会使用templates/Jinja2。 前端是有角度的。

---

在这种情况下，我应该如何防止XSS攻击。

如果响应的内容类型是

application/json

，那么它就不会受到XSS的攻击，因为没有任何现代浏览器（至少在过去5-10年中）会从json响应运行javascript。但是，您仍然需要保护Angular应用程序不受XSS的影响（这基本上不是很难，基本上是可以的，但是有一些警告，例如使用

*-safe-*

或用户提供的href链接，或者通过连接结构和数据直接构建html——有时确实会发生）

而不是XSS，考虑JSON注入攻击，其中大部分可能会被自动阻止，但以非标准方式构造JSON响应可能允许注入攻击。任何写入json的数据都必须进行适当的编码（由著名的json LIB自动完成）