必须配置项

PASSWORD_HASHER

这个配置是在使用Django自带的密码加密函数的时候会使用的加密算法的列表.默认如下:

PASSWORD_HASHERS = (

    'django.contrib.auth.hashers.PBKDF2PasswordHasher',

    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',

    'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',

    'django.contrib.auth.hashers.BCryptPasswordHasher',

    'django.contrib.auth.hashers.SHA1PasswordHasher',

    'django.contrib.auth.hashers.MD5PasswordHasher',

    'django.contrib.auth.hashers.CryptPasswordHasher',

)

默认使用第一个条目的加密算法,即PBKDF2算法.

所以在使用make_password,check_password,is_password_unable等密码加解密函数的时候,需要添加这个list在setting.py文件中,推荐使用默认配置的算法.

ADMINS

ADMINS是一个二元元组,记录开发人员的姓名和email,当DEBUG为False而views发生异常的时候发email通知这些开发人员.类如:

(('John', 'john@example.com'), ('Mary', 'mary@example.com'))

ALLOWED_HOSTS

ALLOWED_HOSTS是为了限定请求中的host值,以防止黑客构造包来发送请求.只有在列表中的host才能访问.强烈建议不要使用*通配符去配置,另外当DEBUG设置为False的时候必须配置这个配置.否则会抛出异常.配置模板如下:

ALLOWED_HOSTS = [

    '.example.com',  # Allow domain and subdomains

    '.example.com.',  # Also allow FQDN and subdomains

]

DEBUG

DEBUG配置为True的时候会暴露出一些出错信息或者配置信息以方便调试.但是在上线的时候应该将其关掉,防止配置信息或者敏感出错信息泄露.

DEBUG = False

INSTALLED_APPS

INSTALLED_APPS是一个一元数组.里面是应用中要加载的自带或者自己定制的app包路径列表.

INSTALLED_APPS = [

    'anthology.apps.GypsyJazzConfig',

    # ...

]

MANAGERS

和ADMINS类似,并且结构一样,当出现'broken link'的时候给manager发邮件.

MIDDLEWARE_CLASSES

web应用中需要加载的一些中间件列表.是一个一元数组.里面是django自带的或者定制的中间件包路径,需要注意顺序如下:

MIDDLEWARE_CLASSES = (

    'django.contrib.sessions.middleware.SessionMiddleware',

    'django.middleware.common.CommonMiddleware',

    'django.middleware.csrf.CsrfViewMiddleware',

    'django.contrib.auth.middleware.AuthenticationMiddleware',

    'django.contrib.auth.middleware.SessionAuthenticationMiddleware',

    'django.contrib.messages.middleware.MessageMiddleware',

    'django.middleware.clickjacking.XFrameOptionsMiddleware',

    'django.middleware.security.SecurityMiddleware',

)

TEMPLATE_DEBUG

同样是一个DEBUG开关,若为True,DEBUG信息在触发异常之后,会显示在网页上.上线之前必须修改成:

TEMPLATE_DEBUG = False

建议配置

DEBUG

DEBUG = False

防止配置信息和调试信息暴露

SESSION_COOKIE_SECURE

SESSION_COOKIE_SECURE = True

使得session cookie被标记上secure标记,从而只能传输在HTTPS下.

SESSION_COOKIE_HTTPONLY

SESSION_COOKIE_HTTPONLY = True

使得session cookie被标记上http only标记,从而只能被http协议读取,不能被Javascript读取

TEMPLATE_DEBUG

TEMPLATE_DEBUG = False

防止配置信息和debug信息通过view传出.

推荐的中间件

SessionMiddleware

配置作用:在应用中使用session

配置方法:

在MIDDLEWARE_CLASSES中加入:

django.contrib.sessions.middleware.SessionMiddleware

CsrfViewMiddleware

配置作用:在应用中添加CSRF token用来防范csrf攻击

配置方法:

在MIDDLEWARE_CLASSES中加入:

django.contrib.sessions.middleware.CsrfViewMiddleware

clickjacking.XFrameOptionsMiddleware

配置作用:在Http header中添加 X-Frame-Options 标志.防范Clickjacking

配置方法:

在MIDDLEWARE_CLASSES中加入:

django.middleware.clickjacking.XFrameOptionsMiddleware

推荐安装的APP

django_bleach

作用:过滤html字符串,返回合法的已经过滤的安全html字符串.

官方链接:https://bitbucket.org/ionata/django-bleach

文档:https://django-bleach.readthedocs.org/en/latest/

xframeoptions

作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似

官方链接:https://github.com/paulosman/django-xframeoptions

Django安全配置(settings.py)详解的更多相关文章

  1. 【5】Django项目配置settings.py详解

    夫唯不争,故天下莫能与之争 --老子<道德经> 本节内容 1.项目配置文件settings.py介绍 2.数据库配置[MySQL] 3.创建模型对象并和数据库同步 4.python官方提供 ...

  2. django项目的配置文件settings.py详解

    我们创建好了一个Python项目(mysite/)之后,需要在项目中添加模块应用(polls/),在模块应用中添加处理功能逻辑,如添加模块中的视图处理函数(polls.views.index()),这 ...

  3. Django路由配置之正则表达式详解

    正则表达式详解 urls.py from django.conf.urls import url from . import views urlpatterns = [ url(r'^articles ...

  4. CentOS 6.3下Samba服务器的安装与配置方法(图文详解)

    这篇文章主要介绍了CentOS 6.3下Samba服务器的安装与配置方法(图文详解),需要的朋友可以参考下   一.简介  Samba是一个能让Linux系统应用Microsoft网络通讯协议的软件, ...

  5. Windows 7操作系统下PHP 7的安装与配置(图文详解)

    前提博客 Windows 7操作系统下Apache的安装与配置(图文详解) 从官网下载           PHP的官网 http://www.php.net/         特意,新建这么一个目录 ...

  6. Django的安装、使用详解、自动化测试应用以及程序打包

    1.Django的安装 pip install Django 验证 Django 是否能被 Python 识别 >>> import django >>> prin ...

  7. Maven全局配置文件settings.xml详解(转)

    Maven全局配置文件settings.xml详解   目录 一.概要 1.settings.xml的作用2.settings.xml文件位置3.配置的优先级 二.settings.xml元素详解 1 ...

  8. Django之ORM查询操作详解

    浏览目录 一般操作 ForeignKey操作 ManyToManyField 聚合查询 分组查询 F查询和Q查询 事务 Django终端打印SQL语句 在Python脚本中调用Django环境 其他操 ...

  9. MYSQL服务器my.cnf配置文档详解

    MYSQL服务器my.cnf配置文档详解 硬件:内存16G [client] port = 3306 socket = /data/3306/mysql.sock [mysql] no-auto-re ...

随机推荐

  1. sql注入和防sql注入

    sql注入: from pymysql import * def main(): # 创建连接 conn = connect(host="127.0.0.1", port=3306 ...

  2. Django --- 多对多关系创建,forms组件

    目录 多对多三种创建方式 1.系统直接创建 2.自己手动创建 3.自己定义加与系统创建 forms组件 1. 如何使用forms组件 2. 使用forms组件校验数据 3. 使用forms组件渲染标签 ...

  3. python关于字典嵌套字典,列表嵌套字典根据值进行排序

    python 对于字典嵌套字典, 列表嵌套字典排序 例:列表嵌套自字典:d = [{"name": '张三', 's': 68}, {'name': '李四', 's': 97}] ...

  4. vue中url带有#号键,去除方法

    在写vue项目中,发现路由跳转总是带有#,在获取数据中带来不必要的麻烦,如果我们不希望 路由中出现 # ,那怎么办呢? 解决办法: 在router ---->index 中 添加代码   mod ...

  5. netty: 将传递数据格式转为String,并使用分隔符发送多条数据

    自定义分割符,用:DelimiterBasedFrameDecoder类 ByteBuf转String,用StringDecoder类 参考代码: //设置连接符/分隔符,换行显示 ByteBuf b ...

  6. 洛谷 P1199 三国游戏 题解

    每日一题 day18 打卡 Analysis 贪心 假如小A先选最大的[5,4],虽然电脑必须选一个破坏, 我们可以理解为5和4都属于小A的,假如后面未被破坏的最大值无论是和5相关还是和4相关,必然还 ...

  7. docker使用(一)

    windows家庭版 安装docker 查看原文地址(侵删,这里只是保存一用 doceker和vmware发生冲突时 运行下面命令并重启电脑: bcdedit /set hypervisorlaunc ...

  8. 数据结构实验之排序六:希尔排序 (SDUT 3403)

    其实,感觉好像增量不同的冒泡,希尔排序概念以后补上. #include <bits/stdc++.h> using namespace std; int a[10005]; int b[1 ...

  9. P1041 传染病控制——暴力遍历所有相同深度的节点

    P1041 传染病控制 说实话这种暴力我还是头一次见,每次病毒都会往下传染一层: 数据范围小,我们可以直接枚举当前层保护谁就好了: 用vector 记录相同层数的节点:维护已经断了的点: 如果超出最底 ...

  10. vue+vue-resource设置请求头(带上token)

    前言 有这样的一个需求,后台服务器要求把token放在请求头里面 嗯一般是通过data里面通过参数带过去的 第一种方法 全局改变: Vue.http.headers.common['token'] = ...