django-secure

Django-secure on Django-sovellus, jonka avulla voit muistaa tehdä typeriä pikkujuttuja parantaa Django sivuston turvallisuutta.
Innoittamana Mozillan Secure Coding suuntaviivojen ja tarkoitettu sivustoja, jotka on kokonaan tai suurimmaksi osaksi palvellut SSL (jonka pitäisi sisältää mitään tunnukset).
Pika
Testattu Django 1,2 kautta takakonttiin, ja Python 2.5 kautta 2.7. Melko todennäköisesti toimii vanhempien versioiden molemmat, vaikka; se ei ole kovin monimutkaista.
Asennus
Asenna PyPI kanssa pip:
Pip asentaa Django-suojattua
tai saada in-kehitysversion:
Pip asentaa Django-secure == dev
Käyttö
- Lisää "djangosecure" omaan INSTALLED_APPS asetus.
- Lisää "djangosecure.middleware.SecurityMiddleware" sinun MIDDLEWARE_CLASSES asetus (missä riippuu muista middlewares, mutta lähellä listan alkuun on luultavasti hyvä valinta).
- Aseta SECURE_SSL_REDIRECT asetus True, jos kaikki ei-SSL pyynnöt olisi pysyvästi ohjataan SSL.
- Aseta SECURE_HSTS_SECONDS -asetukseksi kokonaisluvun sekuntia, jos haluat käyttää HTTP Strict Transport Security.
- Aseta SECURE_FRAME_DENY asetus True, jos haluat estää määriteltävän sivut ja suojella heitä clickjacking.
- Set SESSION_COOKIE_SECURE ja SESSION_COOKIE_HTTPONLY True jos käytät django.contrib.sessions. Nämä asetukset eivät ole osa Django-secure, mutta niitä tulee käyttää, jos käynnissä suojattu sivusto, ja checksecure hallintakomento tarkistaa niiden arvoja.
- Suorita python manage.py checksecure tarkistaa, että asetukset ovat oikein konfiguroitu palvelevat suojattu SSL-sivuston.

Varoitus
Jos checksecure antaa sinulle kaiken selkeä, kaikki se tarkoittaa, että olet nyt hyödyntää pieni valikoima yksinkertainen ja helppo turvallisuus voittaa. Se on hienoa, mutta se ei tarkoita sivustosi tai codebase on turvallinen: vain toimivaltainen turvallisuuden tarkastus voi kertoa.
Documentation
Katso koko ohjeesta.

Mitä uutta tässä julkaisussa: