Предполагается, что вы запускаете свое приложение на сервере или P C, к которому можно получить доступ из inte rnet, и порт, на котором оно работает, открыт - в отличие от локального запуска в локальной сети / P C - тогда да, любой клиент, который знает (или угадывает) ваш IP и порт, на котором запущено приложение, может попытаться получить доступ к любой конечной точке вашего приложения.
Обратите внимание, что, хотя у клиента не будет полного списка конечных точек, к которым можно получить доступ, общий вектор атаки заключается в многократной попытке угадать конечные точки - например, /admin или /debug. Благодаря автоматизации практически гарантируется, что если ваш сервер, на котором запущено приложение flask, открыт для inte rnet, будут сделаны запросы на попытку доступа к конечным точкам сторонних производителей.
В связи с этим важно заблокировать любую конфиденциальную информацию, стоящую за безопасностью, будь то белый список IP-адресов или механизмы входа в систему, например, предоставляемые модулем flask-login.