安全注意事项

以下模块具有特定的安全注意事项

• base64: base64 安全注意事项，参见 RFC 4648

• hashlib: 所有构造函数都接受“usedforsecurity”关键字参数，禁用已知的、不安全的和被阻止的算法

• http.server 不适合在生产环境中使用，仅实现基本的安全检查。请参阅安全注意事项。

• logging: 日志记录配置使用 eval()

• multiprocessing: Connection.recv() 使用 pickle

• pickle: 在 pickle 中限制全局变量

• random 不应用于安全目的，请改用 secrets

• shelve: shelve 基于 pickle，因此不适合处理不受信任的来源

• ssl: SSL/TLS 安全注意事项

• subprocess: 子进程安全注意事项

• tempfile: mktemp 由于存在竞争条件漏洞而被弃用

• xml: XML 漏洞

• zipfile: 恶意准备的 .zip 文件可能导致磁盘空间耗尽

可以使用 -I 命令行选项以隔离模式运行 Python。 当无法使用时，可以使用 -P 选项或 PYTHONSAFEPATH 环境变量，以避免将可能不安全的路径（例如当前目录、脚本的目录或空字符串）添加到 sys.path 的开头。