必須配置項
PASSWORD_HASHER
這個配置是在使用Django自帶的密碼加密函數的時候會使用的加密算法的列表.默認如下:
PASSWORD_HASHERS = (
'django.contrib.auth.hashers.PBKDF2PasswordHasher',
'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
'django.contrib.auth.hashers.BCryptSHA256PasswordHasher',
'django.contrib.auth.hashers.BCryptPasswordHasher',
'django.contrib.auth.hashers.SHA1PasswordHasher',
'django.contrib.auth.hashers.MD5PasswordHasher',
'django.contrib.auth.hashers.CryptPasswordHasher',
)
默認使用第一個條目的加密算法,即PBKDF2算法.
所以在使用make_password,check_password,is_password_unable等密碼加解密函數的時候,需要添加這個list在setting.py文件中,推薦使用默認配置的算法.
ADMINS
ADMINS是一個二元元組,記錄開發人員的姓名和email,當DEBUG為False而views發生異常的時候發email通知這些開發人員.類如:
(('John', 'john@example.com'), ('Mary', 'mary@example.com'))
ALLOWED_HOSTS
ALLOWED_HOSTS是為了限定請求中的host值,以防止黑客構造包來發送請求.只有在列表中的host才能訪問.強烈建議不要使用*通配符去配置,另外當DEBUG設置為False的時候必須配置這個配置.否則會拋出異常.配置模板如下:
ALLOWED_HOSTS = [
'.example.com', # Allow domain and subdomains
'.example.com.', # Also allow FQDN and subdomains
]
DEBUG
DEBUG配置為True的時候會暴露出一些出錯信息或者配置信息以方便調試.但是在上線的時候應該將其關掉,防止配置信息或者敏感出錯信息泄露.
DEBUG = False
INSTALLED_APPS
INSTALLED_APPS是一個一元數組.里面是應用中要加載的自帶或者自己定制的app包路徑列表.
INSTALLED_APPS = [
'anthology.apps.GypsyJazzConfig',
# ...
]
MANAGERS
和ADMINS類似,並且結構一樣,當出現'broken link'的時候給manager發郵件.
MIDDLEWARE_CLASSES
web應用中需要加載的一些中間件列表.是一個一元數組.里面是django自帶的或者定制的中間件包路徑,需要注意順序如下:
MIDDLEWARE_CLASSES = (
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.auth.middleware.SessionAuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
'django.middleware.security.SecurityMiddleware',
)
TEMPLATE_DEBUG
同樣是一個DEBUG開關,若為True,DEBUG信息在觸發異常之后,會顯示在網頁上.上線之前必須修改成:
TEMPLATE_DEBUG = False
建議配置
DEBUG
DEBUG = False
防止配置信息和調試信息暴露
SESSION_COOKIE_SECURE
SESSION_COOKIE_SECURE = True
使得session cookie被標記上secure標記,從而只能傳輸在HTTPS下.
SESSION_COOKIE_HTTPONLY
SESSION_COOKIE_HTTPONLY = True
使得session cookie被標記上http only標記,從而只能被http協議讀取,不能被Javascript讀取
TEMPLATE_DEBUG
TEMPLATE_DEBUG = False
防止配置信息和debug信息通過view傳出.
推薦的中間件
SessionMiddleware
配置作用:在應用中使用session
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.SessionMiddleware
CsrfViewMiddleware
配置作用:在應用中添加CSRF token用來防范csrf攻擊
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.contrib.sessions.middleware.CsrfViewMiddleware
clickjacking.XFrameOptionsMiddleware
配置作用:在Http header中添加 X-Frame-Options 標志.防范Clickjacking
配置方法:
在MIDDLEWARE_CLASSES中加入:
django.middleware.clickjacking.XFrameOptionsMiddleware
推薦安裝的APP
django_bleach
作用:過濾html字符串,返回合法的已經過濾的安全html字符串.
官方鏈接:https://bitbucket.org/ionata/django-bleach
文檔:https://django-bleach.readthedocs.org/en/latest/
xframeoptions
作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似