Django的安全是一个Django应用程序,可以帮助你记得做那些愚蠢的小事情,以改善你的Django网站的安全性。
由Mozilla的安全编码准则的启发,并打算为完全或大部分担任过SSL(其中应包括与用户登录任何东西)的网站。
快速入门
经过测试,2.7与1.2的Django通过干线和Python 2.5。很可能适用于旧版本的都有,虽然;它不是很复杂。
安装
一封来自PyPI与PIP安装:
PIP安装Django安全
或获取开发中的版本:
PIP安装Django安全==开发
用法
- 添加“djangosecure”到你的INSTALLED_APPS设置。
- 添加“djangosecure.middleware.SecurityMiddleware”你MIDDLEWARE_CLASSES设置(如依赖于你的其他中间件,但临近列表的开始可能是一个不错的选择)。
- 设置SECURE_SSL_REDIRECT设置为true,如果所有非SSL请求应永久重定向到SSL。
- 设置SECURE_HSTS_SECONDS设置到秒的整数倍,如果你想使用HTTP严格传输安全。
- 设置SECURE_FRAME_DENY设置为True,如果你想阻止你的页面帧,并保护他们免受点击劫持。
- 设置SESSION_COOKIE_SECURE和SESSION_COOKIE_HTTPONLY为True,如果您使用的是django.contrib.sessions。这些设置是不是Django的安全的一部分,但他们应该在运行一个安全的网站中使用,而checksecure管理命令将检查他们的价值观。
- 运行Python manage.py checksecure以验证您的设置是否正确配置了服务于安全的SSL网站。
警告:
如果checksecure为您提供全清楚,它的意思是,你现在正在一个微小的选择简单,易胜的安全性优势。这是伟大的,但它并不意味着你的网站或你的代码是安全的:只是一个称职的安全审计可以告诉你。
文件
看到完整的文档了解更多信息
什么在此版本中是新的:
- 在添加了SECURE_HSTS_INCLUDE_SUBDOMAINS设置。感谢保罗·麦克米伦的报告和Donald Stufft的补丁。修正了#13。
- 加入了X-XSS-保护:1;模式=块头。感谢Johannas海勒。
要求:
- 在Python中
- 在Django的
评论没有发现