有查到關於 Django 的安全配置 如下:
實施SSL / HTTPS
可以在Web服務器上啟用SSL / HTTPS,以便加密站點和瀏覽器之間的所有流量,包括否則將以純文本形式發送的身份驗證憑據(強烈建議啟用HTTPS)。如果啟用了HTTPS,則Django提供了許多其他保護措施,您可以使用:
SECURE_PROXY_SSL_HEADER 可以用於檢查內容是否安全,即使內容是從非HTTP代理傳入的也是如此。
SECURE_SSL_REDIRECT 用於將所有HTTP請求重定向到HTTPS。
使用HTTP嚴格傳輸安全性(HSTS)。這是一個HTTP標頭,它通知瀏覽器將來與特定站點的所有連接都應始終使用HTTPS。結合將HTTP請求重定向到HTTPS,此設置可確保在成功建立連接後始終使用HTTPS。HSTS可以通過SECURE_HSTS_SECONDS和SECURE_HSTS_INCLUDE_SUBDOMAINS或在Web服務器上進行配置。
通過將SESSION_COOKIE_SECURE和設置CSRF_COOKIE_SECURE為使用“安全” cookie True。這將確保cookie僅通過HTTPS發送。
↑以上內容 看的不是很懂,請教有相關經驗的朋友們,是否有在settings.py上,一定要建議要設置的安全選項呢?
謝謝您
ex: SESSION_COOKIE_SECURE 一定要設True 才好嗎?之類的,感謝。
已邀請的邦友 {{ invite_list.length }}/5
iThome鐵人賽
看影片追技術