关闭

转:Django 安全配置(setting.py)详解

标签: django
602人阅读 评论(0) 收藏 举报
分类:

原文地址](https://segmentfault.com/a/1190000003756582)

1. 必须配置:

PASSWORD_HASHER

这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下:

PASSWORD_HASHERS = (
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.BCryptPasswordHasher',
    'django.contrib.auth.hashers.SHA1PasswordHasher',
    'django.contrib.auth.hashers.MD5PasswordHasher',
    'django.contrib.auth.hashers.CryptPasswordHasher',
)

默认使用第一个条目的加密算法,即PBKDF2算法.
所以在使用make_password,check_password,is_password_unable等密码加解密函数的时候,需要添加这个list在setting.py文件中,推荐使用默认配置的算法.

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#password-hashers
https://docs.djangoproject.com/en/1.8/topics/auth/passwords/

ADMINS

ADMINS是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:((‘John’, ‘john@example.com’), (‘Mary’, ‘mary@example.com’))

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#admins

ALLOWED_HOSTS

ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.否则会抛出异常.配置模板如下:

ALLOWED_HOSTS = [
    '.example.com',  # Allow domain and subdomains
    '.example.com.',  # Also allow FQDN and subdomains
]

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#allowed-hosts

DEBUG

DEBUG配置为True的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.
DEBUG = False
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG

INSTALLED_APPS

INSTALLED_APPS是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.

INSTALLED_APPS = [
    'anthology.apps.GypsyJazzConfig',
    # ...
]

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#installed-apps
https://docs.djangoproject.com/en/1.8/ref/applications/

MANAGERS

和ADMINS类似,并且结构一样,当出现’broken link’的时候给manager发邮件.
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS

MIDDLEWARE_CLASSES

web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,如下:

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
)

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MIDDLEWARE_CLASSES
https://docs.djangoproject.com/en/1.8/topics/http/middleware/

TEMPLATE_DEBUG

同样是一个DEBUG开关,若为True,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:
TEMPLATE_DEBUG = False
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG

建议配置

DEBUG

DEBUG = False
防止配置信息和调试信息暴露

SESSION_COOKIE_SECURE

SESSION_COOKIE_SECURE = True
使得session cookie被标记上secure标记,从而只能传输在HTTPS下
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure

SESSION_COOKIE_HTTPONLY

SESSION_COOKIE_HTTPONLY = True
使得session cookie被标记上http only标记,从而只能被http协议读取,不能被Javascript读取

TEMPLATE_DEBUG

TEMPLATE_DEBUG = False
防止配置信息和debug信息通过view传出.

推荐的中间件

SessionMiddleware

配置作用:在应用中使用session
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.SessionMiddleware
相关链接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/topics/http/sessions/

CsrfViewMiddleware

配置作用:在应用中添加CSRF token用来防范csrf攻击
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.CsrfViewMiddleware
相关链接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/ref/csrf/

clickjacking.XFrameOptionsMiddleware

配置作用:
在Http header中添加 X-Frame-Options 标志.防范Clickjacking
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.middleware.clickjacking.XFrameOptionsMiddleware
相关链接:
https://docs.djangoproject.com/en/1.8/ref/clickjacking/

推荐安装的app:

django_bleach

作用:过滤html字符串,返回合法的已经过滤的安全html字符串.
官方链接:https://bitbucket.org/ionata/django-bleach
文档:https://django-bleach.readthedocs.org/en/latest/

xframeoptions

作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似
官方链接:https://github.com/paulosman/django-xframeoptions

0
0
查看评论

Django学习——setting.py常用配置

Reprinted  from: http://blog.163.com/stu_shl/blog/static/59937509201192012536637/ 官方文档: https://docs.djangoproject.com/en/1.7/topics...
  • werm520
  • werm520
  • 2014-11-25 17:40
  • 12668

django settings.py 配置文件

#coding=utf-8 import os DEBUG = True TEMPLATE_DEBUG = DEBUG APP_PATH = os.path.split(__file__)[0] ROOT_PATH = os.path.split(APP_PATH)[0] ADMINS = ( ...
  • linjinniang
  • linjinniang
  • 2014-07-16 10:16
  • 3276

django中的settings.py中数据库配置介绍

DATABASES = {     'default': {         'ENGINE': 'django.db.backends.mysql'...
  • qingyuanluofeng
  • qingyuanluofeng
  • 2015-09-17 16:26
  • 1782

Django学习——setting.py源码解析与常用配置

/Django/conf/init.py Django源码解析:setting.py 位于/Django/conf/init.py 转载http://www.cnblogs.com/weishenhong/p/4929098.html 1. setting.py文件我们在django项目中,...
  • tianyaqpzm
  • tianyaqpzm
  • 2016-08-22 14:21
  • 549

django中settings.py设置

改变语言与时区#LANGUAGE_CODE = 'en-us' # #TIME_ZONE = 'UTC'# 改变语言与时区 LANGUAGE_CODE= 'zh-hans' TIME_ZONE='Asia/Shanghai'注册应用IN...
  • FantDing
  • FantDing
  • 2017-04-26 19:46
  • 197

Django 1.6 最佳实践: 如何设置django项目的设置(settings.py)和部署文件(requirements.txt)

作者: Desmond Chen, 发布日期: 2014-05-17, 修改日期: 2014-05-18 在Django 1.6中的settings.py中可以修改130多项设置, 但大多数都继承自默认值. 设置是在web服务器启动时首次载入的, 服务器重...
  • oMingZi12345678
  • oMingZi12345678
  • 2014-09-08 15:54
  • 1785

基于 Django1.10 文档的深入学习(2)—— Settings.py 之 STATIC_*

STATIC_ROOT默认值:None(在开发环境中为此默认值)collectstatic 收集静态文件进行部署的目录的绝对路径。示例:“/var/www/example.com/static/”如果启用了staticfiles contribapp(如在默认项目模板中),则collectstati...
  • HeatDeath
  • HeatDeath
  • 2017-04-24 17:05
  • 869

django 自定义 密码加密方式 及自定义验证方式

在django1.6中,默认的加密方式是pbkdf_sha256,具体算法不表,一直以来用django的自带用户验证都十分顺手,今天有需求,需要修改默认加密方式为md5,具体方法为: 在settings.py中加入  PASSWORD_HASHERS = (   ...
  • u013480667
  • u013480667
  • 2016-02-06 21:14
  • 3695

django中templates在settings的配置

django 中templates在settings中的配置问题
  • tengfei461807914
  • tengfei461807914
  • 2016-05-11 23:36
  • 2082

django的settings中几个static设置项的关系

django的settings中包含三个static相关设置项: STATIC_ROOT STATIC_URL STATICFILES_DIRS STATIC_URL 好理解,就是映射到静态文件的url,一般为/static/ STATICFILES_DIRS 是个列表,放各个app的st...
  • huangyimo
  • huangyimo
  • 2016-01-24 23:24
  • 2956
    个人资料
    • 访问:288684次
    • 积分:3978
    • 等级:
    • 排名:第9390名
    • 原创:329篇
    • 转载:17篇
    • 译文:10篇
    • 评论:35条
    博客专栏
    最新评论