Django项目部署 - 服务器安全

最新推荐文章于 2024-04-20 17:44:41 发布
最新推荐文章于 2024-04-20 17:44:41 发布
阅读量333 收藏 1
点赞数

*跨站脚本安全保护 Cross site scripting protection

跨站脚本攻击(XSS)通常发生于站点存储和使用不安全的内容,例如数据库里存储的用户的内容是用户的脚本,这些脚本读取后未经处理便执行导致了网站的不安全。例如

<style class={{var}}>...</style>

当var是来自用户类似于这样的内容:

‘class1 οnmοuseοver=javascript:func()’

这样就可能导致浏览器执行不安全的脚本。为了避免这类问题,django模板会自动过滤特殊字符,类似 ‘<’, '>'之类的字符会被过滤。

如果你确定安全不需要过滤,可以使用safe过滤器,并在合适的地方用双引号。

<style class="{{var|safe}}">...</style>


*跨站请求伪造保护  CSRF(cross site request forgery)protection

未知用户伪装成登陆用户去提交表单

A站的javascript 在用户打开B站后, 提交了B站的一个表单到B站(因为这时用户已经登陆了B站,所以B站以为这是用户提交的),但这不是用户的行为

django有CSRF保护模块,必须在MIDDLEWARE_CLASSES里加上:

'django.middleware.csrf.CsrfViewMiddleware'

在form里必须加上{% csrf_token%}才能通过服务器验证,

<form action="" method = "post"> {% csrf_token%}

默认全站有效

如果只想保护特殊的view,  请单独在view函数前加上@csrf_protect

还有一个设置允许来自指定站点的POST请求

CSRF_COOKIE_DOMAIN = '.example.com'

如果view 不考虑CSRF, 可在view前加@csrf_exempt


*SQL注入攻击保护 SQL injection protection

SQL注入式在SQL里隐藏附带的脚本去数据库里执行的行为,django的QuerySet会跳过打本这类隐藏脚本


*点击劫持攻击保护 Clickjacking

如A站点把B站点的内容放在了一个frame里来伪装,当用户点击A的‘赞’按钮会自动调用js去点击B的‘确定购买’按钮

django防止攻击的方法是在中间件加上

‘django.middleware.clickjacking.XFrameOptionsMiddleware’


*开启SSL/HTTPS

根据需要开启 HTTPS设置,提高服务器安全性

SESSION_COOKIE_SECURE=True

CSRF_COOKIE_SECURE=True

SECURE_PROXY_SSL_HEADER=('HTTP_X_FORWARDED_PROTO', 'https')

SECURE_SSL_REDIRECT=True


*在ALLOWED_HOSTS里指定哪些HOST是可以访问的




valexchao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
部署前清单:Django Web安全
编程故事的地方
12-23 362
您已经知道Web安全对于防止黑客和网络窃贼访问敏感信息很重要。 因此,在本文中,我们将检查Django安全漏洞以及如何修复它们。 部署清单 首先,请通过以下命令检查您的安全漏洞: manage.py check --deploy 您会看到一些描述,这些描述提供了有关Django Web应用程序漏洞的信息。 尝试搜索这些安全问题,并在生产前修复它们。 Mozilla天文台 如果您已经部署了...
Django初学者笔记系列(十六):确保项目的安全
qq_39453977的博客
12-03 173
当前,我们部署的项目存在一个严重的安全问题:settings.py包含设置DEBUG=True,它在发生错误时显示调试信息。开发项目时,Django的错误页面向你显示了重要的调试信息,如果将项目部署服务器后依然保留这个设置,将给攻击者提供大量可供利用的信息。我们还需确保任何人都无法看到这些信息,也不能冒充项目托管网站来重定向请求。 下面来修改settings.py,以让我们能够在本地看到错误消息...
java web项目部署安全_java Web项目的三种部署方法
weixin_42328834的博客
03-07 309
第一种方法:在tomcat中的conf目录中,在server.xml中的,节点中添加:docBase="D:\eclipse3.2.2forwebtools\workspace\hello\WebRoot" debug="0"privileged="true">第二中方法:这种方法最为简单,将java Web项目导出成war文件直接放到tomcat webapps目录中。第三种方法:在con...
django---10---csrf防护
一夜奈何梁山
08-29 407
1:模拟正常情况用户的登录: 分析:当用户点击登录按钮的时候,会将自己的用户名和密码等信息发送给服务器服务器判断,是不是post请求,如果是提取request中的username,password.然后服务器查询数据库是否存在这个用户名和密码。如果查询成功,会给在response中设置cookie,返回给浏览器。此时浏览器就存在了本次网页访问的cookie。 2:接下来用户进行转账操作: 此时用户点击转账,这次请求携带者上次服务器返回的cookie值,浏览器拿到这次的请求后,首先使用COOKIES的g
Django admin自定义动作之你的不规范可能让你的站点不安全
JOHNSON 抓什 的博客
07-19 394
Django admin自定义动作之你的不规范可能让你的站点不安全了前言新版写的写法权限认证漏洞漏洞验证危害 前言 想起前段时间,我是非常抵触看官方文档的。官方文档是什么东西,我就算自己看源码学,我也不会看你文档一点!现在发现文档是真的香啊。 那之前我想自定动作的时候, 我头是真的铁. 我居然自己看: https://b23.tv/NQuKiI, 实际上人家官方就有详细的文档 新版写的写法 我大致翻了一下文档, 权限认证呢?我记得阅读 delete_selected() 源码的时候。是有权限认证的呀. 难道
Vue+Django项目部署详解
10-16
Vue+Django项目的部署涉及到多个步骤,包括本地项目配置、前端构建、服务器环境准备和数据库配置等。这里我们将深入探讨这些关键环节。 首先,在本地项目配置阶段,我们需要为生产环境创建一个新的配置文件`prop.py...
Django项目部署到CentOs服务器
09-20
今天小编就为大家分享一篇关于将Django项目部署到CentOs服务器中的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Nginx+Uwsgi+Django 项目部署服务器的思路详解
09-16
这个过程涉及到的每一个步骤都是为了让Django项目在服务器上以高效、稳定的方式运行。Nginx的反向代理和负载均衡能力,配合Uwsgi的高性能应用处理,确保了Web服务的响应速度和可靠性。通过虚拟环境,我们可以隔离...
django-vue-admin发布教程.docx
04-11
本教程旨在帮助开发者了解如何将基于 Django 和 Vue.js 的项目部署到生产环境中。本文档基于文档“django-vue-admin发布教程.docx”,主要介绍了如何在 Linux 服务器上进行项目的部署过程,并对关键步骤进行了详细的...
安全发布Django项目解决方案
最新发布
财迷的博客
04-20 508
对py文件进行编译(不编译__init__,py文件,否在会报错),编译成功后删除py文件和编译中间文件.c。
Django安全防护-Django安全问题上的处理详解
盖世英雄
11-13 4541
跨站脚本 (XSS) 防护¶XSS攻击允许用户注入客户端脚本到其他用户的浏览器里。 这通常是通过存储在数据库中的恶意脚本,它将检索并显示给其他用户,或者通过让用户点击一个链接,这将导致攻击者的 JavaScript 被用户的浏览器执行。 然而,XSS 攻击可以来自任何不受信任的源数据,如 Cookie 或 Web 服务,任何没有经过充分处理就包含在网页中的数据。使用 Django 模板保护你免受多数
创建django项目时遇见的问题及解决方案
Jump_Monkey的博客
07-08 706
首先要确保自己的MAC电脑中有python3和django,如果没有可以自行安装,这里就不做过多的介绍了。 1.使用django-admin.py startproject HellowWord创建项目的时候,会报错误: -bash: django-admin.py: command not found 原因:环境变量中找不到django-admin.py 解决办法: 软连接:ln -s/Library/Frameworks/Python.framework/Versions/3.6/lib/python
服务器上直接运行Django项目
qq_39008205的博客
05-13 1927
我们只需要在服务器中有python环境,个人觉得直接下个anaconda就可以了。最好配置环境变量(Windows环境)具体怎么搞请参考 只是添加如下两个环境变量 C:\ProgramData\Anaconda3 C:\ProgramData\Anaconda3\Scripts 服务器上不能直接运行默认的IP即(python manage.py runserver),外网是访问不了的,我一直报错:远程主机强迫关闭了一个现有的连接。 我们需要通过ipconfig查看本机的IPV4的ip地址。然后我们.
服务器部署Django博客项目总结——踩过的坑
qq_37002901的博客
12-24 526
1.xshell怎么连接不上阿里云服务器 2.linux 下如何回到根目录 3.CentOS7.3 编译安装 Python3.6.2 4.因为python2转成了python3yum不能使用 5.mysql安装在centos7报错ERROR 1045 (28000): Access denied for user ‘root’@‘localhost’ (using password: NO) 6....
Django项目部署服务器
weixin_51693702的博客
05-16 3033
Django项目部署服务器 注:服务器系统:Centos7 使用到云服务器、MySQL数据库、emqx服务器、Navicat、Nginx、uwsgi 1.安装python 说明: 安装步骤参考了他人的教程 详细教程请访问原作者的博客 linuxpython安装教程 安装步骤 1.首先安装依赖包,centos里面是-devel,如果在ubuntu下安装则要改成-dev,依赖包缺一不可,安装python3未成功可能是因为没有安装libffi-devel sudo yum -y groupinstall "De
Python开发-Django安全
huidaoli
12-15 4914
发起 XSS 攻击的人可以向其他用户的浏览器诸如客户端脚本。这种攻击通常由存储在数据库中的恶意脚本实现,这些脚本会被检索出来并显示给其他用户;或者通过其他用户点击会令攻击者的 JavaScript 脚本在浏览器中执行的链接来实现。然而,倘若在数据加载到页面前未经过彻底地清理,那么 XSS 攻击可以来自任何不可信任的数据源,比如 cookies 或者 Web 服务器
Django开发web安全防护
weixin_30485799的博客
07-13 477
<1> sql注入攻击与防范   (1)、sql注入的危害     1、非法读取,篡改,删除数据库的中的数据;     2、盗取用户的各类敏感信息,获取利益;     3、通过修改数据库来修改网页上的内容;     4、注入木马等等; (2)、sql注入的防范    1、对于用户的输入进行合法性判断;     2、参数中加入sql语句拼接字符串使之为真;   ...
Django 安全最佳实践
ronon77的专栏
06-16 884
加固服务器 包括修改 SSH 端口,关闭/删除不必要的服务等。 理解 Django安全特性 包括: 跨站脚本保护 XSS 跨站请求伪造保护 CSRF SQL 注入保护 劫持保护 支持 TLS/HTTPS/HSTS,包括安全 cookie 安全的密码存储,默认使用 PBKDF2 算法和 SHA256 哈希算法 自动 HTML 转义 一个能对抗 XML Bomb 攻击的 ...
django项目部署服务器
06-06
好的,我来为您介绍一下 Django 项目部署服务器的步骤。具体操作可能因服务器环境及版本的不同而略有差异,以下是一般的部署步骤。 1. 将 Django 项目代码上传到服务器。您可以使用 FTP、SCP 或其他文件传输协议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值