Flask 应用程序在调试模式下运行¶

ID: py/flask-debug
Kind: problem
Security severity: 7.5
Severity: error
Precision: high
Tags:
   - security
   - external/cwe/cwe-215
   - external/cwe/cwe-489
Query suites:
   - python-code-scanning.qls
   - python-security-extended.qls
   - python-security-and-quality.qls

点击查看 CodeQL 代码库中的查询

在调试模式下运行 Flask 应用程序可能允许攻击者通过 Werkzeug 调试器获得访问权限。

建议¶

确保在生产环境中运行的 Flask 应用程序禁用调试。

示例¶

运行以下代码将启动一个启用了调试的 Flask Web 服务器。通过访问 /crash，可以访问调试器，并通过交互式调试器运行任意代码。

from flask import Flask

app = Flask(__name__)

@app.route('/crash')
def main():
    raise Exception()

app.run(debug=True)

参考¶

Flask 快速入门文档：调试模式.
Werkzeug 文档：调试应用程序.
通用弱点枚举：CWE-215.
通用弱点枚举：CWE-489.

©2025GitHub, Inc.
条款
隐私