django配置(setting)之ALLOWED_HOSTS

最新推荐文章于 2025-04-03 10:46:19 发布
最新推荐文章于 2025-04-03 10:46:19 发布
阅读量2.8w 收藏 10
点赞数 4
分类专栏: 趣味Python 文章标签: django settings ALLOW_HOSTS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXJ19950917/article/details/81662816
版权
本文详细介绍了Django项目中ALLOWED_HOSTS的配置,该设置用于限制只能从特定主机/域名访问,防止黑客通过构造HTTP主机标头发起攻击。建议避免使用通配符,并在设置为空时配置此选项,以增强安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

django配置(setting)之ALLOWED_HOSTS

django官方文档解释:

ALLOWED_HOSTS¶
Default: [] (Empty list)

A list of strings representing the host/domain names that this Django site can serve. This is a security measure to prevent HTTP Host header attacks, which are possible even under many seemingly-safe web server configurations.

Values in this list can be fully qualified names (e.g. 'www.example.com'), in which case they will be matched against the request’s Host header exactly (case-insensitive, not including port). A value beginning with a period can be used as a subdomain wildcard: '.example.com' will match example.com, www.example.com, and any other subdomain of example.com. A value of '*' will match anything; in this case you are responsible to provide your own validation of the Host header (perhaps in a middleware; if so this middleware must be listed first in MIDDLEWARE).

Django also allows the fully qualified domain name (FQDN) of any entries. Some browsers include a trailing dot in the Host header which Django strips when performing host validation.

If the Host header (or X-Forwarded-Host if USE_X_FORWARDED_HOST is enabled) does not match any value in this list, the django.http.HttpRequest.get_host() method will raise SuspiciousOperation.

When DEBUG is True and ALLOWED_HOSTS is empty, the host is validated against ['localhost', '127.0.0.1', '[::1]'].

This validation only applies via get_host(); if your code accesses the Host header directly from request.META you are bypassing this security protection.

Changed in Django 1.10.3:
In older versions, ALLOWED_HOSTS wasn’t checked if DEBUG=True. This was also changed in Django 1.9.11 and 1.8.16 to prevent a DNS rebinding attack.

理解AllOWED_HOSTS

settings.py

  • ALLOWED_HOSTS是配置在Django项目中的settings.py文件中的,Django设置文件包含Django安装的所有配置。

注意: settings.py设置文件只是一个带有模块级别变量的Python模块。

  • 由于settings.py设置文件时Python模块,因此以下内容适用:
    • 它不允许Python语法错误。
    • 它可以使用普通的Python语法动态分配设置。例如: MY_SETTING = [str(i) for i in range(30)]
    • 它可以从其他设置文件导入值。

ALLOWED_HOSTS的作用

  • ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求。只有在列表中的host才能访问。

注意:在这里本人强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置。否则会抛出异常。

ALLOWED_HOSTS的配置中文说明

  • ALLOWED_HOSTS后面所跟的属性值是一个字符串列表值,这个字符串列表值表示当下这个Django站点可以提供的host/domain(主机/域名)。这是一种安全措施,通过使用伪造的HTTP主机标头提交请求来防止攻击者中毒缓存并触发带有恶意主机链接的密码重置电子邮件,即使在许多看似安全的Web服务器配置下也是如此。
Django Settings 配置参数详解
UysqOperands的博客
09-21 191
以上是 Django 中一些常用的配置参数的详细说明和示例代码。通过调整这些配置参数,您可以根据自己的需求对 Django 应用程序的行为进行细致的定制。请注意,在修改配置参数后,需要重新启动 Django 服务器才能使更改生效。Django 是一个功能强大且灵活的 Python Web 框架,其配置参数能够对应用程序的行为进行细致的调整和定制。的文件中,该文件位于 Django 项目的根目录下。本文将详细介绍 Django 中常用的一些配置参数,并提供相应的源代码示例。
Django之全局配置-ALLOWED_HOSTS、LOGGING及多个子应用管理
weixin_47454485的博客
07-27 3370
一、ALLOWED_HOSTS配置 可以使用那些iP或者域名来访问系统 默认为空,可以使用127.0.0.1或者localhost,也可以指定ip 如果想允许任何ip进行访问,可以设置为* 在项目下的settings.py中设置允许任何ip访问 ALLOWED_HOSTS = ['*'] 二、LOGGING配置django的全局配置文件中进行如下配置 LOGGING = { # 版本号 'version': 1, # 指定是否禁用已经存在的日志器 'disable_
Django setting.py配置项: ALLOWED_HOSTS
Ch3nnn的博客
09-11 1万+
ALLOWED_HOSTS配置中文说明 ALLOWED_HOSTS后面所跟的属性值是一个字符串列表值,这个字符串列表值表示当下这个Django站点可以提供的host/domain(主机/域名)。这是一种安全措施,通过使用伪造的HTTP主机标头提交请求来防止攻击者中毒缓存并触发带有恶意主机链接的密码重置电子邮件,即使在许多看似安全的Web服务器配置下也是如此。 ALLOWED_HOST...
一文详解Ubuntu环境变量配置:设置环境变量的两种方法
最新发布
bjxiaxueliang的CODING茶馆
04-03 1630
在Ubuntu(或其他Linux系统)中,环境变量是系统或应用程序运行时使用的全局配置参数。它们可以存储路径、密钥、默认设置等信息,影响程序的行为。无论你是开发者、系统管理员,还是Linux初学者,掌握环境变量的配置方法都能让你更高效地管理系统和运行程序。
【Mysql安装系列】ERROR 1045 (28000): Access denied for user ‘root‘@‘localhost‘ (using password
CSDN站内信: https://i.csdn.net/#/msg/chat/qyj19920704
03-18 6823
Mac 登陆 mysql 提示错误:ERROR 1045 (28000): Access denied for user ‘root’@‘localhost’ (using password: YES) Mac 中安装 mysql 官网下载傻瓜执行 终端登陆 mysql 密码忘记 启动进入的时候会出现这个错误: ERROR 1045 (28000): Access denied for user ‘root’@‘localhost’ (using password: YES) 停止 Mysql 服务
Django重要配置项解析:ALLOWED_HOSTS、DEBUG与DEFAULT_FROM_EMAIL
Leon_Jinhai_Sun的博客
12-24 363
Django重要配置项解析:ALLOWED_HOSTS、DEBUG与DEFAULT_FROM_EMAIL
djangoALLOWED_HOSTS配置
weixin_34390105的博客
10-24 4878
ALLOWED_HOSTS = [] 默认为空 当配置的时候是需要进行设置的,如果不设置会有这样的错误: Invalid HTTP_HOST header: '127.0.0.1:8000'. You may need to add '127.0.0.1' to ALLOWED_HOSTS. 如果DEBUG = True;默认 有ALLOWED_HOSTS = ['localhost', '12...
Django5】setting.py文件的配置
sishihao的博客
07-10 1666
我们上一章写了如何简单的创建和启动一个Django项目,这章我们要学会如何具体的配置setting.py文件。本章介绍了Django框架中setting.py文件里各个字段的配置和作用,学习了如何配置,后续章节会对Django的路由定义、变量、正则、重定向等方面来介绍该框架的使用。
Djangosetting.py安全配置详解
gy的博客
07-13 827
1. BASE_DIRBASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__))) 当前工程的根目录,Django会依此来定位工程内的相关文件,我们也可以使用该参数来构造文件路径。2. DEBUG调试模式,创建工程后初始值为True,即默认工作在调试模式下。作用:修改代码文件,程序自动重启Django程序出现异常时,向...
django5入门【04】Django框架配置文件说明:settings.py
dave的技术成长之路
10-24 1669
⭐注意:HTML可以放静态资源目录`static` 下吗?什么样的HTML文件可以放?
Django5入门(速通版) 第二章 配置文件
m0_74449629的博客
09-02 1841
Django配置文件settings.py用于配置整个网络的环境和功能,核心配置必须有项目路径,密钥配置,域名访问权限,app列表,中间件,资源文件,模板配置,数据库的连接方式。
django-allow-cidr:允许在 ALLOWED_HOSTS 中使用 CIDR IP 范围的 Django 中间件
05-30
Django 允许 CIDR 一个 Django 中间件,用于在 ALLOWED_HOSTS 中启用 CIDR IP 范围。 快速开始 安装 Django 允许 CIDR: pip install django-allow-cidr 将中间件添加到您的 MIDDLEWARE_CLASSES(对于 Django < 1.10)或 MIDDLEWARE 设置。 它应该是列表中的第一个: MIDDLEWARE = ( 'allow_cidr.middleware.AllowCIDRMiddleware' , ... ) 添加 ALLOWED_CIDR_NETS 设置: ALLOWED_CIDR_NETS = [ '192.168.1.0/24' ] 利润! 特征 正常的 ALLOWED_HOSTS 值也将按预期工作。 该中间件旨在增强而不是取代正常的 Djang
django settings配置文件ALLOWED_HOSTS
weixin_30674525的博客
04-16 2234
ALLOWED_HOSTS列表为了防止黑客入侵,只允许列表中的ip地址访问 填写上“*”可以使所有的网址都能访问Django项目了,项目测试的时候,可以这么做。这样就失去了保护 转载于:https://www.cnblogs.com/chongdongxiaoyu/p/10717797.html...
django配置文件中的allow_hosts有什么用?
祈心无尘的博客
11-13 5669
ALLOWED_HOSTS的作用 ALLOWED_HOSTS是用来设置允许哪些主机访问我们的django后台站点, 如果项目没有部署到远程服务器,且DEBUG = True(线下模式,允许调试),默认 有ALLOWED_HOSTS = [‘localhost’, ‘127.0.0.1’, ‘[::1]’],即默认允许本地主机访问django后台 如果项目上线部署到远程服务器,那就必须设置allo...
基于 Django1.10 文档的深入学习(31)—— settingsALLOWED_HOSTS
热门推荐
HeatDeath的博客
05-01 1万+
ALLOWED_HOSTSDefault: [] (Empty list)表示此Django站点可以投放的主机/域名的字符串列表。这是防止HTTP主机头部攻击的安全措施,即使在许多看似安全的Web服务器配置下也是如此。此列表中的值可以是完全限定名称(例如“www.example.com”),在这种情况下,它们将完全匹配请求的主机标头(不区分大小写,不包括端口)。以期间开头的值可以用作子域通配符:'.
ALLOWED_HOSTS
gaosong0623的博客
12-20 6462
测试的时候发现自己的访问被拒,报错信息没了,翻译过来大概就是访问被拒绝,可以尝试在ALLOWED_HOSTS添加你的信息? 在settings.py文件里找到了ALLOWED_HOSTS列表里添加了自己的IP,遂解决~ 这里需要注意IP要用引号引起来。 ...
AWS部署django项目时,遇到“ALLOWED_HOSTS没有设置时”。
qq_43591724的博客
11-08 147
IP_ADDRESS_OF_YOUR_SITE指的是你aws云中的实例的public address。
django报错解决:Invalid HTTP_HOST header: 'xxx.com'. You may need to add u'xxx.com' to ALLOWED_HOSTS....
weixin_34261739的博客
09-03 474
django版本:1.11.15 使用uwsgi+nginx运行django程序,出现报错,报错为:Invalid HTTP_HOST header: 'xxx.com:82'. You may need to add u'xxx.com' to ALLOWED_HOSTS.xxx.com为绑定的测试域名,82为端口 解决办法: 修改项目的setting.py配置文件 将ALLOWED_HO...
python的djangoALLOWED_HOST参数
weixin_34342207的博客
05-28 809
2019独角兽企业重金招聘Python工程师标准>>> ...
django前后端分离setting配置
01-31
### Django 前后端分离 Settings.py 配置 在构建基于Django的应用程序时,实现前后端分离可以提高开发效率并增强系统的可维护性和扩展性。为了达到这一目标,在`settings.py`中的配置至关重要。 #### 修改 `ALLOWED_HOSTS` 确保允许从前端服务器接收请求,这通常涉及到设置`ALLOWED_HOSTS`变量来包含前端应用所在的域名或IP地址[^2]: ```python ALLOWED_HOSTS = ['frontend.example.com'] ``` #### 设置静态文件和媒体文件路径 对于静态资源(如CSS、JavaScript),以及上传的媒体文件,应该指定独立于应用程序逻辑的位置存储这些文件。通过调整`STATIC_URL`, `STATIC_ROOT`, `MEDIA_URL`, 和 `MEDIA_ROOT` 来完成此操作: ```python STATIC_URL = '/static/' STATIC_ROOT = BASE_DIR / 'collected_static' MEDIA_URL = '/media/' MEDIA_ROOT = BASE_DIR / 'media' ``` #### 安装必要的中间件 为了让Django能够处理跨域资源共享(CORS),安装并配置相应的中间件是非常重要的。可以通过pip安装`django-cors-headers`包,并将其加入到已安装的应用列表中,同时添加CORS相关中间件: ```python INSTALLED_APPS = [ ... 'corsheaders', ] MIDDLEWARE = [ 'corsheaders.middleware.CorsMiddleware', ... ] ``` #### CORS Headers Configuration 针对不同环境下的安全需求,合理地设定哪些源被允许访问API接口。如果是在开发环境中测试,则可以直接开放所有来源;而在生产环境下则应严格限定具体的URL模式: ```python # 开发环境 CORS_ORIGIN_ALLOW_ALL = True # 或者 生产环境 CORS_ALLOWED_ORIGINS = [ "https://example.com", "https://api.example.com" ] ``` #### REST Framework 的集成 当采用RESTful API作为数据交互方式时,推荐使用Django REST framework (DRF)框架简化视图层的设计。同样需要先通过pip安装该库,并更新`INSTALLED_APPS`以激活它: ```python INSTALLED_APPS += ('rest_framework',) ``` 此外,还可以自定义一些全局性的参数,比如分页大小、认证机制等,具体可以根据实际业务场景灵活调整。 ```python REST_FRAMEWORK = { 'DEFAULT_PAGINATION_CLASS': 'rest_framework.pagination.PageNumberPagination', 'PAGE_SIZE': 10, } ``` 以上就是在Django项目中进行前后端分离所需的主要`settings.py`配置项介绍。当然,随着项目的复杂度增加还可能涉及更多细节上的优化工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值