Django 安全配置(setting.py)詳解
Django 安全配置(setting.py)詳解
標籤(空格分隔): python django web安全html
---
1. 必須配置:
0x01. PASSWORD_HASHER
這個配置是在使用Django自帶的密碼加密函數的時候會使用的加密算法的列表.默認以下:python
PASSWORD_HASHERS = (
'django.contrib.auth.hashers.PBKDF2PasswordHasher',
'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
'django.contrib.auth.hashers.BCryptPasswordHasher',
'django.contrib.auth.hashers.SHA1PasswordHasher',
'django.contrib.auth.hashers.MD5PasswordHasher',
'django.contrib.auth.hashers.CryptPasswordHasher',
)
默認使用第一個條目的加密算法,即PBKDF2算法.
因此在使用make_password,check_password,is_password_unable等密碼加解密函數的時候,須要添加這個list在setting.py文件中,推薦使用默認配置的算法.
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#password-hashers
https://docs.djangoproject.com/en/1.8/topics/auth/passwords/git
0x02. ADMINS
ADMINS是一個二元元組,記錄開發人員的姓名和email,當DEBUG爲False而views發生異常的時候發email通知這些開發人員.類如:github
(('John', 'john@example.com'), ('Mary', 'mary@example.com'))
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#adminsweb
0x03. ALLOWED_HOSTS
ALLOWED_HOSTS是爲了限定請求中的host值,以防止黑客構造包來發送請求.只有在列表中的host才能訪問.強烈建議不要使用*通配符去配置,另外當DEBUG設置爲False的時候必須配置這個配置.不然會拋出異常.配置模板以下:算法
ALLOWED_HOSTS = [
'.example.com', # Allow domain and subdomains
'.example.com.', # Also allow FQDN and subdomains
]
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#allowed-hostsdjango
0x04. DEBUG
DEBUG配置爲True的時候會暴露出一些出錯信息或者配置信息以方便調試.可是在上線的時候應該將其關掉,防止配置信息或者敏感出錯信息泄露.數組
DEBUG = False
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG安全
0x05. INSTALLED_APPS
INSTALLED_APPS是一個一元數組.裏面是應用中要加載的自帶或者本身定製的app包路徑列表.cookie
INSTALLED_APPS = [
'anthology.apps.GypsyJazzConfig',
# ...
]
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#installed-apps
https://docs.djangoproject.com/en/1.8/ref/applications/
0x06. MANAGERS
和ADMINS相似,而且結構同樣,當出現'broken link'的時候給manager發郵件.
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS
0x07. MIDDLEWARE_CLASSES
web應用中須要加載的一些中間件列表.是一個一元數組.裏面是django自帶的或者定製的中間件包路徑,以下:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
)
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MIDDLEWARE_CLASSES
https://docs.djangoproject.com/en/1.8/topics/http/middleware/
0x08. TEMPLATE_DEBUG
一樣是一個DEBUG開關,若爲True,DEBUG信息在觸發異常以後,會顯示在網頁上.上線以前必須修改爲:
TEMPLATE_DEBUG = False
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG
2. 建議配置
0x01. DEBUG
DEBUG = False
防止配置信息和調試信息暴露
0x02. SESSION_COOKIE_SECURE
SESSION_COOKIE_SECURE = True
使得session cookie被標記上secure標記,從而只能傳輸在HTTPS下
相關連接:
https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure
0x03. SESSION_COOKIE_HTTPONLY
SESSION_COOKIE_HTTPONLY = True
使得session cookie被標記上http only標記,從而只能被http協議讀取,不能被Javascript讀取
0x04. TEMPLATE_DEBUG
TEMPLATE_DEBUG = False
防止配置信息和debug信息經過view傳出.
3. 推薦的中間件:
0x01. SessionMiddleware
配置做用:
在應用中使用session配置方法:
在MIDDLEWARE_CLASSES中加入:django.contrib.sessions.middleware.SessionMiddleware相關連接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/topics/http/sessions/
0x02. CsrfViewMiddleware
配置做用:
在應用中添加CSRF token用來防範csrf攻擊
配置方法:
1.在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.CsrfViewMiddleware相關連接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/ref/csrf/
0x03. clickjacking.XFrameOptionsMiddleware
配置做用:
在Http header中添加X-Frame-Options標誌.防範Clickjacking
配置方法:
1.在MIDDLEWARE_CLASSES中加入:
django.middleware.clickjacking.XFrameOptionsMiddleware相關連接:
https://docs.djangoproject.com/en/1.8/ref/clickjacking/
4. 推薦安裝的app:
0x01. django_bleach
做用:過濾html字符串,返回合法的已通過濾的安全html字符串.
官方連接:https://bitbucket.org/ionata/django-bleach
文檔:https://django-bleach.readthedocs.org/en/latest/
0x02. xframeoptions
做用:防範ClickJacking,做用和官方的XFrameOptionsMiddleware類似
官方連接:https://github.com/paulosman/django-xframeoptions
- 1. Scrapy框架之Setting.py的配置詳解
- 2. Django學習——setting.py經常使用配置
- 3. Django setting.py中BASE_DIR解析
- 4. Django源碼解析:setting.py
- 5. 詳解mysql安全配置
- 6. MySQL安全配置詳解
- 7. Django+MySQL安裝配置詳解(Linux)
- 8. django如何調用setting.py的配置信息做爲全局使用
- 9. Django 使用MySQL數據庫時 setting.py配置
- 10. JDK安裝配置全過程詳解
- 更多相關文章...
- • MyBatis配置文件詳解 - MyBatis教程
- • Git 安裝配置 - Git 教程
- • IntelliJ IDEA 代碼格式化配置和快捷鍵
- • IDEA下SpringBoot工程配置文件沒有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。