Django初学者笔记系列(十六):确保项目的安全

最新推荐文章于 2024-07-12 17:37:10 发布
最新推荐文章于 2024-07-12 17:37:10 发布
阅读量170 收藏
点赞数
文章标签: django python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39453977/article/details/103370003
版权

当前,我们部署的项目存在一个严重的安全问题:settings.py包含设置DEBUG=True,它在发生错误时显示调试信息。开发项目时,Django的错误页面向你显示了重要的调试信息,如果将项目部署到服务器后依然保留这个设置,将给攻击者提供大量可供利用的信息。我们还需确保任何人都无法看到这些信息,也不能冒充项目托管网站来重定向请求。

下面来修改settings.py,以让我们能够在本地看到错误消息,但部署到服务器后不显示任何错误消息:

#Heroku设置
if os.getcwd() == '/app':
    import dj_database_url

    DATABASES = {
        'default': dj_database_url.config(default='postgres://localhost')
    }

    #让request.is_secure()承认X-Forwarded-Proto头
    SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARD_PROTO', 'https') #支持http请求

    #只允许Heroku托管这个项目
    ALLOWED_HOSTS = ['hgl-learning-log.herokuapp.com']

    DEBUG = False

    #支持所有主机的头(gost header)
    ALLOWED_HOSTS = ['*']

    #静态资产配置
    --snip--

修改ALLOWED_HOSTS,只允许Heroku托管这个项目。并设置DEBUG为False

提交并推送修改

1.首先:

git commit -am “Set DEBUG=False for Heroku.”

成功,输出如下:

[master 8fd2d4a] Set DEBUG=False for Heroku.
 3 files changed, 36 insertions(+), 3 deletions(-)
 create mode 100644 .idea/vcs.xml

git status查看当前在仓库的哪个分支上工作。

接下来执行命令:git push heroku master

成功结果如下:

remote: Verifying deploy... done.
To https://git.heroku.com/hgl-learning-log.git
   40e3e17..8fd2d4a  master -> master
何变量
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Django项目打包执行教程,exe启动程序,Django源码保护
09-16
Django项目打包执行教程,亲测可用,可对python文件和Django程序进行打包发布,保护源码,Django源码保护
Django项目部署 - 服务器安全
valexchao的博客
05-01 329
*跨站脚本安全保护 Cross site scripting protection 跨站脚本攻击(XSS)通常发生于站点存储和使用不安全的内容,例如数据库里存储的用户的内容是用户的脚本,这些脚本读取后未经处理便执行导致了网站的不安全。例如 ... 当var是来自用户类似于这样的内容: ‘class1 onmouseover=javascript:func()’ 这样就可能导致浏览器执行不
Django 安全策略的 7 条总结!
weixin_34099526的博客
12-31 260
Florian Apolloner 发言主题为 Django 安全,其中并未讨论针对 SSL 协议的攻击--因为那不在 Django 涉及范围内。(如感兴趣可参考 https://www.ssllabs.com/ssltest/)。 如发现 Django安全漏洞,请参阅 https://djangoproject.com/security,并通过此邮...
django 项目测试方案
失心疯的博客
03-24 488
文章目录初始化单文件测试参考 初始化 在项目目录下新建 tests 包 单文件测试 示例:测试文件为 user.py 在 tests 包中创建单文件测试 py 文件,即 test_user.py 文件 test_user.py 代码如下: from django.test import TestCase import requests class UserTest(TestCase): """用户测试类""" def setUp(self): """基本参数初
Django开发web安全防护
weixin_30485799的博客
07-13 472
<1> sql注入攻击与防范   (1)、sql注入的危害     1、非法读取,篡改,删除数据库的中的数据;     2、盗取用户的各类敏感信息,获取利益;     3、通过修改数据库来修改网页上的内容;     4、注入木马等等; (2)、sql注入的防范    1、对于用户的输入进行合法性判断;     2、参数中加入sql语句拼接字符串使之为真;   ...
Python开发-Django安全
huidaoli
12-15 4904
发起 XSS 攻击的人可以向其他用户的浏览器诸如客户端脚本。这种攻击通常由存储在数据库中的恶意脚本实现,这些脚本会被检索出来并显示给其他用户;或者通过其他用户点击会令攻击者的 JavaScript 脚本在浏览器中执行的链接来实现。然而,倘若在数据加载到页面前未经过彻底地清理,那么 XSS 攻击可以来自任何不可信任的数据源,比如 cookies 或者 Web 服务器
django复习笔记:一个简单的文件分享系统
04-05
【标题】:“django复习笔记:一个简单的文件分享系统” 在这个笔记中,我们将深入探讨如何使用Django框架构建一个基础的文件分享系统。Django是一个高级的Python Web框架,它鼓励快速开发并注重代码的可读性。对于...
Djangostudy:Django初级学习笔记
03-31
本学习笔记主要聚焦于Django的初级知识,适用于初学者快速入门。我们将深入探讨Django 2.2.6版本中的关键概念和特性,特别是路由配置和微信小程序的实现。 ### 1. Django基础 Django遵循MTV(Model-Template-View)...
django模型专题笔记
11-28
- 更新:`book.title = 'Python编程初学者指南'` - 删除:`book.delete()` ### 4. 非关系型字段与自定义字段 除了基本的字段类型,Django 还支持非关系型字段,如 JSONField、ArrayField 等。同时,你可以通过...
2019版-千锋Django-源码+笔记.zip
04-09
2019版千锋Django的源码与笔记资源,为初学者和进阶者提供了一个全面且深度的学习平台,它不仅包含了源代码,还配有思维导图,旨在帮助开发者更好地理解和掌握Django的核心概念和技术。 一、Django简介 Django是...
基于django的网络隐私检测系统
laojin1234的博客
08-21 235
设置会员和管理员两个身份,会员登录可以查看个人信息,可以修改个人信息,可以启动爬虫搜索关键词。管理员可以进入管理后台,可以修改后台数据,可以启动爬虫搜索关键词,可以增删查改用户信息。使用的是pythondjango框架做的后端,前端使用的是bootstart响应式框架。数据库(sqlite/mysql/sqlserver等):splite或mysql。开发工具(eclipse/idea/vscode等):pycharm。登陆页面,可以输入账号密码进行登陆。主页面,可以输入关键词获取信息。
Django安全防护-Django安全问题上的处理详解
盖世英雄
11-13 4531
跨站脚本 (XSS) 防护¶XSS攻击允许用户注入客户端脚本到其他用户的浏览器里。 这通常是通过存储在数据库中的恶意脚本,它将检索并显示给其他用户,或者通过让用户点击一个链接,这将导致攻击者的 JavaScript 被用户的浏览器执行。 然而,XSS 攻击可以来自任何不受信任的源数据,如 Cookie 或 Web 服务,任何没有经过充分处理就包含在网页中的数据。使用 Django 模板保护你免受多数
Django安全
韦宇的博客
08-30 1851
Internet并不安全。 现如今,每天都会出现新的安全问题。我们目睹过病毒飞速地蔓延,大量被控制的肉鸡作为武器来攻击其他人,与垃圾邮件的永无止境的军备竞赛,以及许许多多站点被黑的报告。 作为web开发人员,我们有责任来对抗这些黑暗的力量。每一个web开发者都应该把安全看成是web编程中的基础部分。不幸的是,要实现安全是困难的。攻击者只需要找到一个微小的薄弱环节,而防守方却要保护得面面
You're using the staticfiles app without having set the STATIC_ROOT setting to a filesystem path.
tymatlab的专栏
10-30 3551
【问题】Heroku部署报错:remote: django.core.exceptions.ImproperlyConfigured: You're using the staticfiles app without having set the STATIC_ROOT setting to a filesystem path.
django mysql端口安全设置_Django数据库的安全配置问题
weixin_36251012的博客
02-23 190
我是刚接触django的新手, 有很多地方不了解, 请教大家多多指教, 谢谢.Django数据库的配置在settings.py中的DATABASES节段中DATABASES = {'default': {'ENGINE': 'sql_server.pyodbc','NAME': 'dabaseName','USER': 'userName','PASSWORD': 'password','HOST...
Django ORM中的F 对象
点点滴滴
07-11 300
F对象非常强大,可以在查询和更新操作中进行复杂的运算。假设我们有一个包含商品信息的模型Product。
django ninja get not allowed 能用 put delete
最新发布
nongcunqq的博客
07-12 266
遇到一个奇怪的问题,django-ninja 编写的 get post 方法不能使用。
django的增删改查,排序,分组等常用的ORM操作
点点滴滴
07-11 301
Django 的 ORM(对象关系映射)提供了一种方便的方式来与数据库进行交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值