Django 安全配置(setting.py)详解

最新推荐文章于 2024-04-25 15:43:18 发布
最新推荐文章于 2024-04-25 15:43:18 发布
阅读量195 收藏
点赞数
文章标签: python web安全 javascript ViewUI
原文链接:https://segmentfault.com/a/1190000003756582
版权

Django 安全配置(setting.py)详解

标签(空格分隔): python django web安全

---

1. 必须配置:

0x01. PASSWORD_HASHER

这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下:

PASSWORD_HASHERS = (
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.BCryptPasswordHasher',
    'django.contrib.auth.hashers.SHA1PasswordHasher',
    'django.contrib.auth.hashers.MD5PasswordHasher',
    'django.contrib.auth.hashers.CryptPasswordHasher',
)

默认使用第一个条目的加密算法,即PBKDF2算法.
所以在使用make_password,check_password,is_password_unable等密码加解密函数的时候,需要添加这个list在setting.py文件中,推荐使用默认配置的算法.
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#password-hashers
https://docs.djangoproject.com/en/1.8/topics/auth/passwords/

0x02. ADMINS

ADMINS是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:

(('John', 'john@example.com'), ('Mary', 'mary@example.com'))

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#admins

0x03. ALLOWED_HOSTS

ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.否则会抛出异常.配置模板如下:

ALLOWED_HOSTS = [
    '.example.com',  # Allow domain and subdomains
    '.example.com.',  # Also allow FQDN and subdomains
]

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#allowed-hosts

0x04. DEBUG

DEBUG配置为True的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.

    DEBUG = False

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG

0x05. INSTALLED_APPS

INSTALLED_APPS是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.

INSTALLED_APPS = [
    'anthology.apps.GypsyJazzConfig',
    # ...
]

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#installed-apps
https://docs.djangoproject.com/en/1.8/ref/applications/

0x06. MANAGERS

ADMINS类似,并且结构一样,当出现'broken link'的时候给manager发邮件.
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS

0x07. MIDDLEWARE_CLASSES

web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,如下:

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
)

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MIDDLEWARE_CLASSES
https://docs.djangoproject.com/en/1.8/topics/http/middleware/

0x08. TEMPLATE_DEBUG

同样是一个DEBUG开关,若为True,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:

TEMPLATE_DEBUG = False

相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG

2. 建议配置

0x01. DEBUG

DEBUG = False

防止配置信息和调试信息暴露

0x02. SESSION_COOKIE_SECURE

SESSION_COOKIE_SECURE = True

使得session cookie被标记上secure标记,从而只能传输在HTTPS
相关链接:
https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure

0x03. SESSION_COOKIE_HTTPONLY

SESSION_COOKIE_HTTPONLY = True

使得session cookie被标记上http only标记,从而只能被http协议读取,不能被Javascript读取

0x04. TEMPLATE_DEBUG

TEMPLATE_DEBUG = False

防止配置信息和debug信息通过view传出.

3. 推荐的中间件:

0x01. SessionMiddleware

  1. 配置作用:
    在应用中使用session

  2. 配置方法:
    在MIDDLEWARE_CLASSES中加入:
    django.contrib.sessions.middleware.SessionMiddleware

  3. 相关链接:
    https://docs.djangoproject.com/en/1.8/ref/middleware/
    https://docs.djangoproject.com/en/1.8/topics/http/sessions/

0x02. CsrfViewMiddleware

  1. 配置作用:
    在应用中添加CSRF token用来防范csrf攻击

  • 配置方法:

  1. 1.在MIDDLEWARE_CLASSES中加入:
    django.contrib.sessions.middleware.CsrfViewMiddleware

  2. 相关链接:
    https://docs.djangoproject.com/en/1.8/ref/middleware/
    https://docs.djangoproject.com/en/1.8/ref/csrf/

0x03. clickjacking.XFrameOptionsMiddleware

  1. 配置作用:
    在Http header中添加 X-Frame-Options 标志.防范Clickjacking

  • 配置方法:

  1. 1.在MIDDLEWARE_CLASSES中加入:
    django.middleware.clickjacking.XFrameOptionsMiddleware

  2. 相关链接:
    https://docs.djangoproject.com/en/1.8/ref/clickjacking/

4. 推荐安装的app:

0x01. django_bleach

作用:过滤html字符串,返回合法的已经过滤的安全html字符串.
官方链接:https://bitbucket.org/ionata/django-bleach
文档:https://django-bleach.readthedocs.org/en/latest/

0x02. xframeoptions

作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似
官方链接:https://github.com/paulosman/django-xframeoptions

weixin_34402408
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Djangosetting.py安全配置详解
gy的博客
07-13 723
1. BASE_DIRBASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__))) 当前工程的根目录,Django会依此来定位工程内的相关文件,我们也可以使用该参数来构造文件路径。2. DEBUG调试模式,创建工程后初始值为True,即默认工作在调试模式下。作用:修改代码文件,程序自动重启Django程序出现异常时,向...
Django完整配置settings.py
weixin_42218868的博客
08-05 568
“”" Django settings for DjangoFresh project. Generated by ‘django-admin startproject’ using Django 2.1.2. For more information on this file, see https://docs.djangoproject.com/en/2.1/topics/settings/ ...
3.Django3 Web开发 Django 配置信息
清风
04-13 1672
0. 第二章 Django 配置信息 Django配置文件settings.py 用于配置整个网站的环境个功能, 核心配置必须与项目的路径, 密钥配置, 域名访问权限, App列表, 中间件, 资源文件, 模板配置, 数据库分连接方式. 1. 基本配置信息 创建一个项目, 它的基本配置文件几乎都一样. 1.1 项目路径 from pathlib import Path BASE_DIR = Path(__file__).resolve().parent.parent * 1. 项目路径: BA
Django网络安全】如何正确设置跨域
黎明总是如期而至
05-08 4809
我辈李想:文章原创,转载时请务必加上、作者信息和本声明。
Django框架的安全性如何保障?
最新发布
MildredStowe的博客
04-25 528
综上所述,Django框架通过提供默认的安全配置、灵活的权限管理、安全的模板系统、中间件和信号机制以及鼓励最佳实践等方式,为开发者提供了强大的安全保障。然而,安全性是一个持续的过程,开发者需要时刻保持警惕,遵循最佳实践,并结合代码审计和漏洞扫描等手段来确保应用程序的安全性。此外,Django拥有一个庞大的开发者社区和丰富的文档资源,这为开发者在面临安全挑战时提供了有力的支持。社区中的专家和经验丰富的开发者可以分享他们的经验和最佳实践,帮助其他开发者更好地保障应用程序的安全性。
Django-Session配置引发的反序列化安全问题
蚁景网安学院
10-19 1452
Django中,SESSION_ENGINE 是一个设置项,用于指定用于存储和处理会话(session)数据的引擎。SESSION_SERIALIZER 是Django设置中的一个选项,用于指定Django如何对会话(session)数据进行序列化和反序列化。
[Python]Django 配置
emmmm.....
11-23 2860
pycharm中打开Django项目并配置虚拟环境运行项目;项目路径BASE_DIR;密钥配置SECRET_KEY;调试模式DEBUG;域名访问权限ALLOWED_HOSTS;子应用列表INSTALLED_APPS;静态资源路由STATIC_URL;静态资源集合STATICFILES_DIRS;资源部署STATIC_ROOT;媒体资源MEDIA;配置模板文件夹templates;Django项目配置jinja2模板引擎;Django项目配置MySQL数据库;中间件MIDDLEWARE;配置redis数据库
Django框架的中的setting.py文件说明详解
12-24
1.加载数据库,数据库的配置不能写死在seting.py文件中,下面的方式是读取另外一个文件,配置数据库: config = '' with open(os.path.join(BASE_DIR, 'config/config.json'), 'rt') as f: config = json.load(f) ...
django中的setting最佳配置小结
12-24
Django settings详解 1.基础 DJANGO_SETTING_MODULE环境变量:让settings模块被包含到python可以找到的目录下,开发情况下不需要,我们通常会在当前文件夹运行,python可以搜索到。如果需要运行在其他服务器上,就...
详解Django配置优化方法
01-20
有一些解决方案是利用配置文件是py文件这个特性,在配置里面写一些 if-else 来达到区分线上配置与开发配置的目的。但是当项目较为复杂的时候,这样写的可读性十分差,而且可能产生一些条件判定的BUG。 ​ 所以更加...
django使用xadmin的全局配置详解
01-02
首先需要在创建好的app中新建一个adminx.py的文件,然后添加代码 # _*_ coding: utf-8 _*_ import xadmin from xadmin import views class BaseSetting(object): enable_themes=True use_bootswatch=True xadmin....
转:Django 安全配置(setting.py)详解
stven_king的专栏
02-08 1629
原文地址](https://segmentfault.com/a/1190000003756582)1. 必须配置:PASSWORD_HASHER这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下:PASSWORD_HASHERS = ( 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'dja
Django设置数据库为MySQL,且使用更安全配置方式(在setting.py使用非明文配置mysql用户名和密码)
fucaijin的博客
01-26 2247
根据网上的教程,在setting.py文件更改django数据库为mysql的时候做配置需要填写用户名和密码,网上的许多教程都是直接使用明文密码,我们时不时会更改此文件,如果有同事/朋友或者比较看重隐私的童鞋,可能会担心打开此文件时有人不小心看到。我们只要使用将用户名和密码保存在另一个我们自己创建的配置文件里,然后通过读取此文件的方式,就不会有这个问题了。以下的过程是我亲身操作成功的,步骤有点繁琐...
Django安全配置(settings.py)详解
weixin_34067049的博客
02-09 159
必须配置项 PASSWORD_HASHER 这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下: PASSWORD_HASHERS = ( 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher...
Django安全防护-Django安全问题上的处理详解
盖世英雄
11-13 4529
跨站脚本 (XSS) 防护¶XSS攻击允许用户注入客户端脚本到其他用户的浏览器里。 这通常是通过存储在数据库中的恶意脚本,它将检索并显示给其他用户,或者通过让用户点击一个链接,这将导致攻击者的 JavaScript 被用户的浏览器执行。 然而,XSS 攻击可以来自任何不受信任的源数据,如 Cookie 或 Web 服务,任何没有经过充分处理就包含在网页中的数据。使用 Django 模板保护你免受多数
一个django项目的部署(码云)
咸鱼!!!
06-10 1052
创建仓库 登入码云 点击添加 新建
django如何配置settings.py解决跨域问题,写出settings.py配置文件
05-20
对于你的问题,以下是一个可能的settings.py配置文件示例,用于解决跨域问题: ```python INSTALLED_APPS = [ ... # 其他应用程序 'corsheaders', ... ] MIDDLEWARE = [ ... # 其他中间件 'corsheaders....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值