Соображения безопасности¶
Следующие модули имеют особые требования к безопасности:
hashlib
: all constructors take a «usedforsecurity» keyword-only argument disabling known insecure and blocked algorithmshttp.server
не подходит для производственного использования, а только для выполнения базовых проверок безопасности. Смотрите security considerations.random
не следует использовать в целях безопасности, вместо этого используйтеsecrets
shelve
: shelve is based on pickle and thus unsuitable for dealing with untrusted sourcestempfile
: mktemp is deprecated due to vulnerability to race conditionszipfile
: maliciously prepared .zip files can cause disk volume exhaustion
Параметр командной строки -I
можно использовать для запуска Python в изолированном режиме. Если его нельзя использовать, можно использовать параметр -P
или переменную окружения PYTHONSAFEPATH
, чтобы не указывать перед sys.path
потенциально небезопасный путь, такой как текущий каталог, каталог скрипта или пустая строка.