Django 安全配置(setting.py)详解

时间 2019-11-08

标签 django 安全配置 setting.py setting 详解栏目 Python 繁體版

原文原文链接

Django 安全配置(setting.py)详解

标签（空格分隔）： python django web安全html

---

1. 必须配置:

0x01. PASSWORD_HASHER

这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认以下:python

PASSWORD_HASHERS = (
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.BCryptPasswordHasher',
    'django.contrib.auth.hashers.SHA1PasswordHasher',
    'django.contrib.auth.hashers.MD5PasswordHasher',
    'django.contrib.auth.hashers.CryptPasswordHasher',
)

默认使用第一个条目的加密算法,即PBKDF2算法.
因此在使用make_password,check_password,is_password_unable等密码加解密函数的时候,须要添加这个list在setting.py文件中,推荐使用默认配置的算法.
相关连接:
https://docs.djangoproject.com/en/1.8/ref/settings/#password-hashers
https://docs.djangoproject.com/en/1.8/topics/auth/passwords/git

0x02. ADMINS

ADMINS是一个二元元组,记录开发人员的姓名和email，当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:github

(('John', 'john@example.com'), ('Mary', 'mary@example.com'))

0x03. ALLOWED_HOSTS

ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.不然会抛出异常.配置模板以下:算法

ALLOWED_HOSTS = [
    '.example.com',  # Allow domain and subdomains
    '.example.com.',  # Also allow FQDN and subdomains
]

0x04. DEBUG

DEBUG配置为True的时候会暴露出一些出错信息或者配置信息以方便调试.可是在上线的时候应该将其关掉，防止配置信息或者敏感出错信息泄露.数组

DEBUG = False

相关连接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG安全

0x05. INSTALLED_APPS

INSTALLED_APPS是一个一元数组.里面是应用中要加载的自带或者本身定制的app包路径列表.cookie

INSTALLED_APPS = [
    'anthology.apps.GypsyJazzConfig',
    # ...
]

0x06. MANAGERS

和ADMINS相似,而且结构同样,当出现'broken link'的时候给manager发邮件.
相关连接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS

0x07. MIDDLEWARE_CLASSES

web应用中须要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,以下：

MIDDLEWARE_CLASSES = (
    'django.contrib.sessions.middleware.SessionMiddleware',
    'django.middleware.common.CommonMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.contrib.auth.middleware.AuthenticationMiddleware',
    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
    'django.contrib.messages.middleware.MessageMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    'django.middleware.security.SecurityMiddleware',
)

0x08. TEMPLATE_DEBUG

一样是一个DEBUG开关,若为True,DEBUG信息在触发异常以后,会显示在网页上.上线以前必须修改为:

TEMPLATE_DEBUG = False

相关连接:
https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG

2. 建议配置

0x01. DEBUG

DEBUG = False

防止配置信息和调试信息暴露

0x02. SESSION_COOKIE_SECURE

SESSION_COOKIE_SECURE = True

使得session cookie被标记上secure标记,从而只能传输在HTTPS下
相关连接:
https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure

0x03. SESSION_COOKIE_HTTPONLY

SESSION_COOKIE_HTTPONLY = True

使得session cookie被标记上http only标记,从而只能被http协议读取,不能被Javascript读取

0x04. TEMPLATE_DEBUG

TEMPLATE_DEBUG = False

防止配置信息和debug信息经过view传出.

3. 推荐的中间件:

0x01. SessionMiddleware

配置做用:
在应用中使用session
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.SessionMiddleware
相关连接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/topics/http/sessions/

0x02. CsrfViewMiddleware

配置做用:
在应用中添加CSRF token用来防范csrf攻击

配置方法:

1.在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.CsrfViewMiddleware
相关连接:
https://docs.djangoproject.com/en/1.8/ref/middleware/
https://docs.djangoproject.com/en/1.8/ref/csrf/

0x03. clickjacking.XFrameOptionsMiddleware

配置做用:
在Http header中添加 X-Frame-Options 标志.防范Clickjacking

配置方法:

1.在MIDDLEWARE_CLASSES中加入:
django.middleware.clickjacking.XFrameOptionsMiddleware
相关连接:
https://docs.djangoproject.com/en/1.8/ref/clickjacking/

4. 推荐安装的app:

0x01. django_bleach

做用:过滤html字符串,返回合法的已通过滤的安全html字符串.
官方连接:https://bitbucket.org/ionata/django-bleach
文档:https://django-bleach.readthedocs.org/en/latest/

0x02. xframeoptions

做用:防范ClickJacking,做用和官方的XFrameOptionsMiddleware类似
官方连接:https://github.com/paulosman/django-xframeoptions