Django מאובטח הוא יישום Django שעוזר לך לזכור לעשות את הדברים הקטנים טפשים כדי לשפר את האבטחה של אתר Django שלך.
בהשראת הנחיות Coding המאובטחת של מוזילה, ומיועד לאתרים שכולו או שימשו בעיקר באמצעות SSL (שאמור לכלול כל דבר עם כניסות משתמש).
להתחלה מהירה
נבדק עם Django 1.2 דרך תא מטען, וPython 2.5 דרך 2.7. די סביר עובד עם גרסאות ישנות יותר של שניהם, כי; זה לא מאוד מסובך.
התקנה
התקן מPyPI עם פיפס:
PIP להתקין Django מאובטח
או לקבל את הגרסה בפיתוח:
PIP להתקין dev == Django מאובטח
שימוש
- להוסיף "djangosecure" להגדרת INSTALLED_APPS שלך.
- להוסיף "djangosecure.middleware.SecurityMiddleware" להגדרת MIDDLEWARE_CLASSES שלך (שבו תלוי בmiddlewares האחר שלך, אבל סמוך לתחילת הרשימה היא כנראה בחירה טובה).
- קבע את הגדרת SECURE_SSL_REDIRECT לנכון, אם כל הבקשות שאינם SSL צריכים להיות מנותבים באופן קבוע לSSL.
- הגדר את SECURE_HSTS_SECONDS הגדרה למספר שלם של שניות, אם ברצונך להשתמש HTTP אבטחת תחבורה קפדנית.
- קבע את הגדרת SECURE_FRAME_DENY לנכון, אם ברצונך למנוע מסגור של הדפים שלך ולהגן עליהם מפני clickjacking.
- סט SESSION_COOKIE_SECURE וSESSION_COOKIE_HTTPONLY לנכון אם אתה משתמש בdjango.contrib.sessions. הגדרות אלה אינן חלקות מיחידה-מאובטחת, אבל הם צריכים להיות בשימוש אם מפעיל אתר מאובטח, ואת פקודת ניהול checksecure תבדוק את הערכים שלהם.
- Checksecure manage.py פיתון הפעלה כדי לוודא שההגדרות שלך מוגדרות כראוי להגשת אתר SSL מאובטח.
אזהרה
אם checksecure נותן לך את כל-ברור, כל זה אומר הוא שאתה עכשיו מנצל את מבחר קטן של נצחונות אבטחה פשוט וקלים. זה נהדר, אבל זה לא אומר שהאתר שלך או בסיס הקוד שלך מאובטח: רק ביקורת ביטחון מוסמכת יכולה להגיד לך את זה.
תיעוד
עיין בתיעוד המלא לקבלת פרטים נוספים
מה חדש במהדורה זו:.
-
הוספת הגדרת SECURE_HSTS_INCLUDE_SUBDOMAINS. תודה פול מקמילן לדיווח ודונלד Stufft לתיקון. תיקונים # 13.
- נוסף X-XSS-ההגנה: 1; מצב = כותרת בלוק. תודה Johannas הלר.
דרישות :
- Python
- Django
תגובות לא נמצא