美文网首页Python 运维我的Python自学之路
转:Django 安全配置(setting.py)详解

转:Django 安全配置(setting.py)详解

作者: 静默加载 | 来源:发表于2017-01-18 19:22 被阅读210次

    原文地址

    1. 必须配置:
      ===
      PASSWORD_HASHER

    这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下:

    PASSWORD_HASHERS = (
        'django.contrib.auth.hashers.PBKDF2PasswordHasher',
        'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
        'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
        'django.contrib.auth.hashers.BCryptPasswordHasher',
        'django.contrib.auth.hashers.SHA1PasswordHasher',
        'django.contrib.auth.hashers.MD5PasswordHasher',
        'django.contrib.auth.hashers.CryptPasswordHasher',
    )
    

    默认使用第一个条目的加密算法,即PBKDF2算法.
    所以在使用make_password,check_password,is_password_unable等密码加解密函数的时候,需要添加这个list在setting.py文件中,推荐使用默认配置的算法.

    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#password-hashers
    https://docs.djangoproject.com/en/1.8/topics/auth/passwords/

    ADMINS

    ADMINS是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:(('John', 'john@example.com'), ('Mary', 'mary@example.com'))

    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#admins

    ALLOWED_HOSTS

    ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.否则会抛出异常.配置模板如下:

    ALLOWED_HOSTS = [
        '.example.com',  # Allow domain and subdomains
        '.example.com.',  # Also allow FQDN and subdomains
    ]
    

    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#allowed-hosts

    DEBUG

    DEBUG配置为True的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.
    DEBUG = False
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG

    INSTALLED_APPS

    INSTALLED_APPS是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.

    INSTALLED_APPS = [
        'anthology.apps.GypsyJazzConfig',
        # ...
    ]
    

    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#installed-apps
    https://docs.djangoproject.com/en/1.8/ref/applications/

    MANAGERS

    和ADMINS类似,并且结构一样,当出现'broken link'的时候给manager发邮件.
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS

    MIDDLEWARE_CLASSES

    web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,如下:

    MIDDLEWARE_CLASSES = (
        'django.contrib.sessions.middleware.SessionMiddleware',
        'django.middleware.common.CommonMiddleware',
        'django.middleware.csrf.CsrfViewMiddleware',
        'django.contrib.auth.middleware.AuthenticationMiddleware',
        'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
        'django.contrib.messages.middleware.MessageMiddleware',
        'django.middleware.clickjacking.XFrameOptionsMiddleware',
        'django.middleware.security.SecurityMiddleware',
    )
    

    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MIDDLEWARE_CLASSES
    https://docs.djangoproject.com/en/1.8/topics/http/middleware/

    TEMPLATE_DEBUG

    同样是一个DEBUG开关,若为True,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:
    TEMPLATE_DEBUG = False
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG

    建议配置

    DEBUG

    DEBUG = False
    防止配置信息和调试信息暴露

    SESSION_COOKIE_SECURE

    SESSION_COOKIE_SECURE = True
    使得session cookie被标记上secure标记,从而只能传输在HTTPS下
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure

    SESSION_COOKIE_HTTPONLY

    SESSION_COOKIE_HTTPONLY = True
    使得session cookie被标记上http only标记,从而只能被http协议读取,不能被Javascript读取

    TEMPLATE_DEBUG

    TEMPLATE_DEBUG = False
    防止配置信息和debug信息通过view传出.

    推荐的中间件

    SessionMiddleware

    配置作用:在应用中使用session
    配置方法:
    在MIDDLEWARE_CLASSES中加入:
    django.contrib.sessions.middleware.SessionMiddleware
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/middleware/
    https://docs.djangoproject.com/en/1.8/topics/http/sessions/

    CsrfViewMiddleware

    配置作用:在应用中添加CSRF token用来防范csrf攻击
    配置方法:
    在MIDDLEWARE_CLASSES中加入:
    django.contrib.sessions.middleware.CsrfViewMiddleware
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/middleware/
    https://docs.djangoproject.com/en/1.8/ref/csrf/

    clickjacking.XFrameOptionsMiddleware

    配置作用:
    在Http header中添加 X-Frame-Options 标志.防范Clickjacking
    配置方法:
    在MIDDLEWARE_CLASSES中加入:
    django.middleware.clickjacking.XFrameOptionsMiddleware
    相关链接:
    https://docs.djangoproject.com/en/1.8/ref/clickjacking/

    推荐安装的app:

    django_bleach

    作用:过滤html字符串,返回合法的已经过滤的安全html字符串.
    官方链接:https://bitbucket.org/ionata/django-bleach
    文档:https://django-bleach.readthedocs.org/en/latest/

    xframeoptions

    作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似
    官方链接:https://github.com/paulosman/django-xframeoptions

    想阅读作者的更多文章,可以查看我 个人博客 和公共号:

    振兴书城

    相关文章

      网友评论

        本文标题:转:Django 安全配置(setting.py)详解

        本文链接:https://www.haomeiwen.com/subject/yajbbttx.html