ユーザーからの入力を信頼せず、適切にバリデーションとサニタイズを行うことは、Flask アプリケーションのセキュリティに不可欠である。
バリデーションとサニタイズの違い
| バリデーション | 入力が期待する形式か検証し、不正なら拒否 |
| サニタイズ | 入力から危険な部分を除去・エスケープして安全にする |
両方を組み合わせることが重要である。
Flask-WTF によるフォームバリデーション
pip install flask-wtf email-validator
from flask_wtf import FlaskForm from wtforms import StringField, PasswordField, IntegerField from wtforms.validators import DataRequired, Email, Length, NumberRange class RegistrationForm(FlaskForm): username = StringField('Username', validators=[ DataRequired(), Length(min=3, max=20) ]) email = StringField('Email', validators=[ DataRequired(), Email() ]) password = PasswordField('Password', validators=[ DataRequired(), Length(min=8) ]) age = IntegerField('Age', validators=[ NumberRange(min=0, max=150) ])
@app.route('/register', methods=['GET', 'POST']) def register(): form = RegistrationForm() if form.validate_on_submit(): # バリデーション済みのデータ username = form.username.data return redirect(url_for('login')) return render_template('register.html', form=form)
カスタムバリデータ
from wtforms.validators import ValidationError def username_exists(form, field): if User.query.filter_by(username=field.data).first(): raise ValidationError('Username already taken') class RegistrationForm(FlaskForm): username = StringField('Username', validators=[ DataRequired(), username_exists ])
API のバリデーション(marshmallow)
pip install marshmallow
from marshmallow import Schema, fields, validate, ValidationError class UserSchema(Schema): username = fields.Str(required=True, validate=validate.Length(min=3, max=20)) email = fields.Email(required=True) age = fields.Int(validate=validate.Range(min=0, max=150)) @app.route('/api/users', methods=['POST']) def create_user(): schema = UserSchema() try: data = schema.load(request.json) except ValidationError as err: return {'errors': err.messages}, 400 # バリデーション済みの data を使用 user = User(**data) db.session.add(user) db.session.commit() return schema.dump(user), 201
HTML のサニタイズ
ユーザー入力を HTML として表示する場合、XSS を防ぐためにサニタイズが必要である。
pip install bleach
import bleach # 許可するタグと属性を指定 ALLOWED_TAGS = ['p', 'br', 'strong', 'em', 'a', 'ul', 'ol', 'li'] ALLOWED_ATTRS = {'a': ['href', 'title']} def sanitize_html(dirty_html): return bleach.clean( dirty_html, tags=ALLOWED_TAGS, attributes=ALLOWED_ATTRS, strip=True ) @app.route('/post', methods=['POST']) def create_post(): content = request.form['content'] safe_content = sanitize_html(content) post = Post(content=safe_content) db.session.add(post) db.session.commit() return redirect(url_for('index'))
Jinja2 の自動エスケープ
Jinja2 はデフォルトで HTML エスケープを行う。
<!-- 安全: 自動エスケープ --> <p>{{ user_input }}</p> <!-- 危険: エスケープを無効化 --> <p>{{ user_input | safe }}</p>
| safe フィルタは、サニタイズ済みのデータにのみ使用すること。
入力バリデーションのベストプラクティス
ホワイトリスト方式で許可する文字・形式を定義
長さ、範囲、形式を必ずチェック
クライアント側バリデーションは信用しない
エラーメッセージで内部情報を漏らさない
適切なバリデーションとサニタイズにより、多くの攻撃を未然に防ぐことができる。
