django การรักษาความปลอดภัยเป็น app Django ที่ช่วยให้คุณจำไว้ว่าให้ทำในสิ่งที่เล็ก ๆ น้อย ๆ โง่ที่จะปรับปรุงความปลอดภัยของเว็บไซต์ Django ของคุณ
แรงบันดาลใจจากแนวทางการเข้ารหัสรักษาความปลอดภัยของ Mozilla และไว้สำหรับเว็บไซต์ที่มีการให้บริการทั้งหมดหรือส่วนใหญ่ผ่าน SSL (ซึ่งควรจะมีอะไรกับการเข้าสู่ระบบของผู้ใช้)
Quickstart
ทดสอบกับ Django 1.2 ผ่านลำต้นและ Python 2.5 ผ่าน 2.7 ค่อนข้างจะทำงานร่วมกับรุ่นเก่าของทั้งสองแม้ว่า; มันไม่ได้มีความซับซ้อนมาก
การติดตั้ง
ติดตั้งจาก PyPI กับจุด:
PIP ติดตั้ง django ปลอดภัย
หรือรับรุ่นในการพัฒนา:
PIP ติดตั้ง dev == django ปลอดภัย
การใช้งาน
- เพิ่ม "djangosecure" กับการตั้งค่าของคุณ INSTALLED_APPS
- เพิ่ม "djangosecure.middleware.SecurityMiddleware" กับการตั้งค่าของคุณ MIDDLEWARE_CLASSES (ซึ่งขึ้นอยู่กับ middlewares อื่น ๆ ของคุณ แต่ใกล้จุดเริ่มต้นของรายการอาจจะเป็นทางเลือกที่ดี)
- ตั้ง SECURE_SSL_REDIRECT การตั้งค่าจริงถ้าการร้องขอที่ไม่ใช้ SSL ควรจะเปลี่ยนเส้นทางถาวร SSL
- ตั้ง SECURE_HSTS_SECONDS การตั้งค่าจำนวนเต็มวินาทีถ้าคุณต้องการที่จะใช้ HTTP การรักษาความปลอดภัยที่เข้มงวดขนส่ง
- ตั้ง SECURE_FRAME_DENY การตั้งค่าความจริงหากคุณต้องการที่จะป้องกันไม่ให้โครงหน้าของคุณและปกป้องพวกเขาจาก Clickjacking
- ชุด SESSION_COOKIE_SECURE และ SESSION_COOKIE_HTTPONLY เป็น True ถ้าคุณกำลังใช้ django.contrib.sessions การตั้งค่าเหล่านี้ไม่ได้เป็นส่วนหนึ่งของ Django ปลอดภัย แต่พวกเขาควรจะใช้ในกรณีที่เรียกใช้เว็บไซต์ที่ปลอดภัยและคำสั่งการจัดการ checksecure จะตรวจสอบค่าของพวกเขา
- เรียกหลาม manage.py checksecure เพื่อตรวจสอบว่าการตั้งค่าของคุณมีการกำหนดค่าอย่างถูกต้องสำหรับการให้บริการเว็บไซต์ที่ปลอดภัย SSL
คำเตือน
หาก checksecure จะช่วยให้คุณทั้งหมดที่ชัดเจนทั้งหมดก็หมายความว่าคุณตอนนี้การใช้ประโยชน์จากตัวเลือกเล็ก ๆ ของการรักษาความปลอดภัยที่ง่ายและสะดวกชนะ ที่ดี แต่มันไม่ได้หมายความว่าเว็บไซต์ของคุณหรือ codebase ของคุณมีความปลอดภัยเพียงตรวจสอบความปลอดภัยที่มีอำนาจสามารถบอกคุณได้ว่า
เอกสาร
ดูเอกสารฉบับเต็มสำหรับรายละเอียดเพิ่มเติม
มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.
- เพิ่ม SECURE_HSTS_INCLUDE_SUBDOMAINS การตั้งค่า ขอบคุณพอล McMillan สำหรับรายงานและโดนัลด์ Stufft สำหรับแพทช์ แก้ไข # 13.
- เพิ่ม X-XSS-การป้องกัน: 1; โหมด = หัวบล็อก ขอบคุณ Johannas เฮลเลอร์.
ต้องการ
- หลาม
- Django
ความคิดเห็นที่ไม่พบ