request-with-no-cert-validation (S501)

源自 flake8-bandit linter。

作用

检查禁用 SSL 证书检查的 HTTPS 请求。

为什么这不好？

如果未验证 SSL 证书，攻击者可以通过拦截和修改客户端与服务器之间的流量来执行“中间人”攻击。

示例

import requests

requests.get("https://www.example.com", verify=False)

建议改为

import requests

requests.get("https://www.example.com")  # By default, `verify=True`.

参考

• 常见弱点枚举：CWE-295