django-an toàn là một ứng dụng Django giúp bạn nhớ để làm những điều ngu ngốc chút để cải thiện bảo mật trang web Django của bạn.
Lấy cảm hứng từ nguyên tắc mã hóa bảo mật của Mozilla, và dành cho các trang web được hoàn toàn hoặc chủ yếu là phục vụ trên SSL (trong đó bao gồm bất cứ điều gì với thông tin đăng nhập của người dùng).
Quickstart
Thử nghiệm với Django 1.2 thông qua thân cây, và Python 2.5 qua 2.7. Rất có thể làm việc với các phiên bản cũ hơn của cả hai, mặc dù; nó không phải là rất phức tạp.
Cài đặt
Cài đặt từ PyPI với pip:
pips cài đặt django-an toàn
hoặc nhận được các phiên bản trong phát triển:
pips cài đặt django-an toàn == dev
Cách sử dụng
- Thêm "djangosecure" để thiết lập INSTALLED_APPS của bạn.
- Thêm "djangosecure.middleware.SecurityMiddleware" để thiết lập MIDDLEWARE_CLASSES của bạn (nơi phụ thuộc vào middlewares khác của bạn, nhưng gần đầu danh sách có lẽ là một lựa chọn tốt).
- Thiết lập các thiết lập SECURE_SSL_REDIRECT True nếu tất cả những yêu cầu không SSL nên được chuyển hướng vĩnh viễn để SSL.
- Thiết lập các SECURE_HSTS_SECONDS thiết lập để một số nguyên giây, nếu bạn muốn sử dụng HTTP Strict Transport Security.
- Thiết lập các thiết lập SECURE_FRAME_DENY True, nếu bạn muốn ngăn chặn khung của trang web của bạn và bảo vệ chúng khỏi clickjacking.
- Set SESSION_COOKIE_SECURE và SESSION_COOKIE_HTTPONLY True nếu bạn đang sử dụng django.contrib.sessions. Các thiết lập này không nằm trong django-an toàn, nhưng họ nên được sử dụng nếu chạy một trang web an toàn, và các lệnh quản lý checksecure sẽ kiểm tra giá trị của họ.
- Run python manage.py checksecure để xác minh rằng các thiết lập của bạn được cấu hình đúng để phục vụ một trang web SSL an toàn.
Cảnh báo
Nếu checksecure cho bạn rõ ràng tất cả, tất cả điều đó có nghĩa là bây giờ bạn đang tận dụng một lựa chọn nhỏ của chiến thắng an toàn đơn giản và dễ dàng. Đó là tuyệt vời, nhưng nó không có nghĩa là trang web của bạn hoặc codebase của bạn là an toàn: chỉ có một kiểm toán an ninh có thẩm quyền có thể nói với bạn rằng.
Tài liệu
Xem tài liệu đầy đủ để biết thêm chi tiết
là gì mới trong phiên bản này:.
- Thêm thiết lập SECURE_HSTS_INCLUDE_SUBDOMAINS. Cảm ơn Paul McMillan cho báo cáo và Donald Stufft cho các bản vá. Fixes # 13.
- Nhập việc X-XSS-Protection: 1; mode = khối tiêu đề. Cảm ơn Johannas Heller.
Yêu cầu :
- Python
- Django
Bình luận không