Django安全配置(settings.py)详解
必须配置项
PASSWORD_HASHER
这个配置是在使用Django
自带的密码加密函数的时候会使用的加密算法的列表.默认如下:
PASSWORD_HASHERS = (
'django.contrib.auth.hashers.PBKDF2PasswordHasher',
'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
'django.contrib.auth.hashers.BCryptPasswordHasher',
'django.contrib.auth.hashers.SHA1PasswordHasher',
'django.contrib.auth.hashers.MD5PasswordHasher',
'django.contrib.auth.hashers.CryptPasswordHasher',
)
默认使用第一个条目的加密算法,即PBKDF2
算法.
所以在使用make_password
,check_password
,is_password_unable
等密码加解密函数的时候,需要添加这个list在setting.py
文件中,推荐使用默认配置的算法.
ADMINS
ADMINS
是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:
(('John', 'john@example.com'), ('Mary', 'mary@example.com'))
ALLOWED_HOSTS
ALLOWED_HOSTS
是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*
通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.否则会抛出异常.配置模板如下:
ALLOWED_HOSTS = [
'.example.com', # Allow domain and subdomains
'.example.com.', # Also allow FQDN and subdomains
]
DEBUG
DEBUG
配置为True
的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.
DEBUG = False
INSTALLED_APPS
INSTALLED_APPS
是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.
INSTALLED_APPS = [
'anthology.apps.GypsyJazzConfig',
# ...
]
MANAGERS
和ADMINS类似,并且结构一样,当出现'broken link'的时候给manager发邮件.
MIDDLEWARE_CLASSES
web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,需要注意顺序如下:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
)
TEMPLATE_DEBUG
同样是一个DEBUG开关,若为True
,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:
TEMPLATE_DEBUG = False
建议配置
DEBUG
DEBUG = False
防止配置信息和调试信息暴露
SESSION_COOKIE_SECURE
SESSION_COOKIE_SECURE = True
使得session cookie
被标记上secure
标记,从而只能传输在HTTPS下.
SESSION_COOKIE_HTTPONLY
SESSION_COOKIE_HTTPONLY = True
使得session cookie
被标记上http only
标记,从而只能被http协议读取,不能被Javascript读取
TEMPLATE_DEBUG
TEMPLATE_DEBUG = False
防止配置信息和debug信息通过view传出.
推荐的中间件
SessionMiddleware
配置作用:在应用中使用session
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.SessionMiddleware
CsrfViewMiddleware
配置作用:在应用中添加CSRF token
用来防范csrf攻击
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.CsrfViewMiddleware
clickjacking.XFrameOptionsMiddleware
配置作用:在Http header中添加 X-Frame-Options
标志.防范Clickjacking
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.middleware.clickjacking.XFrameOptionsMiddleware
推荐安装的APP
django_bleach
作用:过滤html字符串,返回合法的已经过滤的安全html字符串.
官方链接:https://bitbucket.org/ionata/django-bleach
文档:https://django-bleach.readthedocs.org/en/latest/
xframeoptions
作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似
官方链接:https://github.com/paulosman/django-xframeoptions
Django安全配置(settings.py)详解的更多相关文章
- 【5】Django项目配置settings.py详解
夫唯不争,故天下莫能与之争 --老子<道德经> 本节内容 1.项目配置文件settings.py介绍 2.数据库配置[MySQL] 3.创建模型对象并和数据库同步 4.python官方提供 ...
- django项目的配置文件settings.py详解
我们创建好了一个Python项目(mysite/)之后,需要在项目中添加模块应用(polls/),在模块应用中添加处理功能逻辑,如添加模块中的视图处理函数(polls.views.index()),这 ...
- Django路由配置之正则表达式详解
正则表达式详解 urls.py from django.conf.urls import url from . import views urlpatterns = [ url(r'^articles ...
- CentOS 6.3下Samba服务器的安装与配置方法(图文详解)
这篇文章主要介绍了CentOS 6.3下Samba服务器的安装与配置方法(图文详解),需要的朋友可以参考下 一.简介 Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件, ...
- Windows 7操作系统下PHP 7的安装与配置(图文详解)
前提博客 Windows 7操作系统下Apache的安装与配置(图文详解) 从官网下载 PHP的官网 http://www.php.net/ 特意,新建这么一个目录 ...
- Django的安装、使用详解、自动化测试应用以及程序打包
1.Django的安装 pip install Django 验证 Django 是否能被 Python 识别 >>> import django >>> prin ...
- Maven全局配置文件settings.xml详解(转)
Maven全局配置文件settings.xml详解 目录 一.概要 1.settings.xml的作用2.settings.xml文件位置3.配置的优先级 二.settings.xml元素详解 1 ...
- Django之ORM查询操作详解
浏览目录 一般操作 ForeignKey操作 ManyToManyField 聚合查询 分组查询 F查询和Q查询 事务 Django终端打印SQL语句 在Python脚本中调用Django环境 其他操 ...
- MYSQL服务器my.cnf配置文档详解
MYSQL服务器my.cnf配置文档详解 硬件:内存16G [client] port = 3306 socket = /data/3306/mysql.sock [mysql] no-auto-re ...
随机推荐
- HP DL388 Gen9 Raid P440ar 工具
HP DL388 Gen9 服务器raid升级P440ar,原先的hpacucli 不能使用,新的工具为hpssacl hpssacli-2.10-14.0.x86_64.rpm 下载地址:wget ...
- nmap 排除某端口进行扫描
--exclude-ports (Exclude the specified ports from scanning) https://nmap.org/book/man-port-specifica ...
- BZOJ 2406 矩阵(二分+有源汇上下界可行流)
题意 题解 二分答案+可行流判断. 模板题. CODE #include <cstdio> #include <cstring> #include <algorithm& ...
- Oracle 异步IO 优缺点
一.Oracle在Linux下使用异步IO配置 最近在测试Oracle的时候,很想测试下使用异步IO的性能.但是异步IO是需要专门配置的,否则的话,容易遇到很著名的“ORA-01578: ORACLE ...
- Session的数据共享
要体现出Session的数据共享,需要建立两个Servlet: 第一个:建立Session,将值设置为Tom. protected void doGet(HttpServletRequest requ ...
- PHP命令行常用参数说明和使用
-i 打印phpinfo命令 root@DK:/mnt/hgfs/cpp/php# php -i | grep session -v 输出php版本信息 root@DK:/mnt/hgfs/cpp/p ...
- printf的使用
#!/bin/bashprintf "|------------------------------------\n"printf "this is printf str ...
- CSS渐变色边框,解决border设置渐变后,border-radius无效的问题
需求:用css设置渐变边框通过border-image来实现渐变色边框 <div class="content"></div> .content { wid ...
- LayuiAdmin 单页版关闭当前页面tab的方式-图文
需要关闭的时候 调用 parent.layui.admin.events.closeThisTabs() 即可执行当前页面的关闭 $.post("/index.php/WebAdmin/Wx ...
- 记一次vue+vuex+vue-router+axios+elementUI开发(二)
开发环境跟脚手架初始完毕后,我们开始配置axios请求后台接口 axios使用说明:https://www.kancloud.cn/yunye/axios/234845 1.本人是在脚手架中的sr ...