Security reminders
Protect your secrets
切勿直接在代码中保存用户名、密码或安全密钥,也不要将它们提交到您的代码库中。
Use environment variables
通过使用环境变量避免在代码中放置敏感信息。请务必查看st.secrets。研究您使用的任何平台以遵循其安全最佳实践。如果您使用Streamlit Community Cloud,Secrets management允许您保存环境变量并将秘密存储在代码之外。
Keep .gitignore updated
如果在开发过程中使用任何敏感或私人信息,请确保这些信息保存在与代码分开的文件中。确保.gitignore正确配置,以防止将私人信息保存到您的仓库中。
Pickle warning
Streamlit的st.cache_data和st.session_state隐式使用了pickle模块,该模块已知是不安全的。有可能构造恶意的pickle数据,在反序列化期间执行任意代码。切勿以不安全模式加载可能来自不可信来源的数据,或可能被篡改的数据。只加载你信任的数据。
- 当使用
st.cache_data时,您的函数返回的任何内容都会被序列化并存储,然后在检索时反序列化。请确保您的缓存函数返回可信的值。此警告也适用于st.cache(已弃用)。 - 当
runner.enforceSerializableSessionState配置选项设置为true时,确保从会话状态保存和检索的所有数据都是可信的。
还有问题吗?
我们的 论坛 充满了有用的信息和Streamlit专家。