5.2.4. 框架

5.2.4.1. Django

5.2.4.1.1. 历史漏洞

• CVE-2016-7401 CSRF Bypass

• CVE-2017-7233/7234 Open redirect vulnerability

• CVE-2017-12794 debug page XSS

5.2.4.1.2. 配置相关

• Nginx 在为 Django 做反向代理时，静态文件目录配置错误会导致源码泄露。访问 /static.. 会 301 重定向到 /static../

5.2.4.2. Flask

Flask默认使用客户端session，使得session可以被伪造