Django 安全配置(setting.py)详解

      Django 安全配置(setting.py)详解无评论

  1. 必须配置:0x01. PASSWORD_HASHER

  这个配置是在使用 Django 自带的密码加密函数的时候会使用的加密算法的列表.默认如下:

  ?

  1

  2

  3

  4

  5

  6

  7

  8

  9PASSWORD_HASHERS = (

  ’django.contrib.auth.hashers.PBKDF2PasswordHasher’,

  ’django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher’,

  ’django.contrib.auth.hashers.BCryptSHA256PasswordHasher’,

  ’django.contrib.auth.hashers.BCryptPasswordHasher’,

  ’django.contrib.auth.hashers.SHA1PasswordHasher’,

  ’django.contrib.auth.hashers.MD5PasswordHasher’,

  ’django.contrib.auth.hashers.CryptPasswordHasher’,

  )

  默认使用第一个条目的加密算法,即 PBKDF2 算法.

  所以在使用 make_password , check_password , is_password_unable 等密码加解密函数的时候,需要添加这个list在 setting.py 文件中,推荐使用默认配置的算法.

  ADMINS 是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:

  ((‘John’, ‘john@example.com’), (‘Mary’, ‘mary@example.com’))

  相关链接:

  https://docs.djangoproject.com/en/1.8/ref/settings/#admins0x03. ALLOWED_HOSTS

  ALLOWED_HOSTS 是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用 * 通配符去配置,另外当 DEBUG 设置为False 的时候必须配置这个配置.否则会抛出异常.配置模板如下:

  ?

  1

  2

  3

  4ALLOWED_HOSTS = [

  ’.example.com’, # Allow domain and subdomains

  ’.example.com.’, # Also allow FQDN and subdomains

  ]

  DEBUG 配置为 True 的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.

  DEBUG = False

  0x05. INSTALLED_APPS

  INSTALLED_APPS 是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.

  INSTALLED_APPS = [ ‘anthology.apps.GypsyJazzConfig’, # …]

  和 ADMINS 类似,并且结构一样,当出现’broken link’的时候给manager发邮件.

  0x07. MIDDLEWARE_CLASSES

  web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,如下:

  ?

  1

  2

  3

  4

  5

  6

  7

  8

  9

  10MIDDLEWARE_CLASSES = (

  ’django.contrib.sessions.middleware.SessionMiddleware’,

  ’django.middleware.common.CommonMiddleware’,

  ’django.middleware.csrf.CsrfViewMiddleware’,

  ’django.contrib.auth.middleware.AuthenticationMiddleware’,

  ’django.contrib.auth.middleware.SessionAuthenticationMiddleware’,

  ’django.contrib.messages.middleware.MessageMiddleware’,

  ’django.middleware.clickjacking.XFrameOptionsMiddleware’,

  ’django.middleware.security.SecurityMiddleware’,

  )

  同样是一个DEBUG开关,若为 True ,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:

  TEMPLATE_DEBUG = False

  2. 建议配置0x01. DEBUG

  DEBUG = False

  防止配置信息和调试信息暴露

  0x02. SESSION_COOKIE_SECURE

  SESSION_COOKIE_SECURE = True

  使得 session cookie 被标记上 secure 标记,从而只能传输在 HTTPS 下

  0x03. SESSION_COOKIE_HTTPONLY

  SESSION_COOKIE_HTTPONLY = True

  使得 session cookie 被标记上 http only 标记,从而只能被http协议读取,不能被 Javascript 读取

  0x04. TEMPLATE_DEBUG

  TEMPLATE_DEBUG = False

  防止配置信息和debug信息通过view传出.

  3. 推荐的中间件:0x01. SessionMiddleware

  配置作用:在应用中使用session

  配置方法:

  在MIDDLEWARE_CLASSES中加入:

  django.contrib.sessions.middleware.SessionMiddleware

  配置作用:在应用中添加CSRF token用来防范csrf攻击

  配置方法:

  1.在MIDDLEWARE_CLASSES中加入:

  django.contrib.sessions.middleware.CsrfViewMiddleware

  配置作用:

  在Http header中添加 X-Frame-Options 标志.防范Clickjacking

  配置方法:

  1.在MIDDLEWARE_CLASSES中加入:

  django.middleware.clickjacking.XFrameOptionsMiddleware

  作用:过滤html字符串,返回合法的已经过滤的安全html字符串.

  0x02. xframeoptions

  作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似

发表评论