Django-Secure является приложение Django, который помогает вам вспомнить, чтобы сделать глупые мелочи по повышению безопасности вашего сайта в Django.
Вдохновленный Руководства Secure кодирования Mozilla, и предназначена для сайтов, которые полностью или в основном служили в течение SSL (который должен включать в себя все с пользователей логины).
Быстрый старт
Протестировано с Django 1.2 через ствол, и Python 2.5 через 2,7. Весьма вероятно работает со старыми версиями и, хотя; это не очень сложно.
Установка
Установка из PyPI с пип:
пункт установить Django-Secure
или получить версию в процессе развития:
пункт установить Django-Secure == Dev
Использование
- Добавить "djangosecure" для вашей установки INSTALLED_APPS.
- Добавить "djangosecure.middleware.SecurityMiddleware" для вашей установки MIDDLEWARE_CLASSES (где зависит от ваших других промежуточное программное, но ближе к началу списка, вероятно, хороший выбор).
- Установите настройку SECURE_SSL_REDIRECT Истина, если все запросы без SSL должны быть постоянно перенаправлены на SSL.
- Установите настройки SECURE_HSTS_SECONDS до целого числа секунд, если вы хотите использовать HTTP-Strict Transport Security.
- Установите настройку SECURE_FRAME_DENY к Правда, если вы хотите, чтобы обрамление ваших страниц и защитить их от ClickJacking.
- Набор SESSION_COOKIE_SECURE и SESSION_COOKIE_HTTPONLY Истина, если вы используете django.contrib.sessions. Эти параметры не являются частью Django-Secure, но они должны быть использованы при работе безопасное место, и команда управления checksecure будет проверять их значения.
- Выполнить питона manage.py checksecure чтобы убедиться, что ваши настройки правильно настроен для обслуживания защищенный сайт SSL.
Предупреждение
Если checksecure дает вам все понятно, все это означает, что вы теперь, пользуясь крошечным выбор простых и легких побед безопасности. Это здорово, но это не значит, ваш сайт или ваш кода является безопасным: только компетентный аудит безопасности могу сказать вам, что.
Документация
Смотрите полную документацию для более подробной информации
Что нового В этом выпуске:.
- Добавлена настройку SECURE_HSTS_INCLUDE_SUBDOMAINS. Благодаря Пол Макмиллан для отчета и Дональд Stufft патча. Исправления # 13.
- Добавлена X-XSS-Protection: 1; Режим = заголовок блока. Благодаря Johannas Хеллер.
Требования
- Python
- Джанго
Комментарии не найдены