django-secure

Django ασφαλή είναι ένα app Django που σας βοηθά να θυμηθείτε να κάνετε τα ηλίθια μικρά πράγματα για να βελτιώσει την ασφάλεια Django το site σας.
Εμπνευσμένο από Ασφαλείς κατευθυντήριες οδηγίες κωδικοποίησης της Mozilla, και τα οποία προορίζονται για τις περιοχές που έχουν εξ ολοκλήρου ή κυρίως εξυπηρετούνται μέσω SSL (η οποία θα πρέπει να περιλαμβάνει οτιδήποτε με χρήστη logins).
Γρήγορη εκκίνηση
Δοκιμασμένο με Django 1.2 μέσω του κορμού, και Python 2.5 μέχρι 2.7. Αρκετά πιθανό λειτουργεί με παλαιότερες εκδόσεις και των δύο, αν? Δεν είναι πολύ περίπλοκη.
installation
Εγκατάσταση από PyPI με PIP:
Pip εγκατάσταση Django ασφαλή
ή να πάρετε την έκδοση σε ανάπτυξη:
Pip εγκατάσταση Django ασφαλή == dev
Χρήση
- Προσθήκη "djangosecure" για τη ρύθμιση σας INSTALLED_APPS.
- Προσθήκη "djangosecure.middleware.SecurityMiddleware" σε MIDDLEWARE_CLASSES ρύθμιση σας (όπου εξαρτάται από άλλες middlewares σας, αλλά κοντά στην αρχή του καταλόγου είναι πιθανώς μια καλή επιλογή).
- Ρυθμίστε τη ρύθμιση SECURE_SSL_REDIRECT να ισχύει αν όλα τα αιτήματα μη-SSL θα πρέπει να κατευθυνθούν μόνιμα SSL.
- Ρυθμίστε τα SECURE_HSTS_SECONDS ρύθμιση σε ένα ακέραιο αριθμό των δευτερολέπτων, εάν θέλετε να χρησιμοποιήσετε το HTTP Strict Transport Security.
- Ρυθμίστε τη ρύθμιση SECURE_FRAME_DENY True, εάν θέλετε να αποτρέψετε τη διαμόρφωση των σελίδων σας και την προστασία τους από Clickjacking.
- Ορισμός SESSION_COOKIE_SECURE και SESSION_COOKIE_HTTPONLY σε True αν χρησιμοποιείτε django.contrib.sessions. Αυτές οι ρυθμίσεις δεν είναι μέρος του Django ασφαλή, αλλά θα πρέπει να χρησιμοποιηθεί εάν εκτελείτε μια ασφαλή τοποθεσία, και η εντολή διαχείρισης checksecure θα ελέγξει τις τιμές τους.
- Εκτέλεση Python manage.py checksecure να βεβαιωθείτε ότι οι ρυθμίσεις σας είναι σωστά ρυθμισμένος για να εξυπηρετούν μια ασφαλή τοποθεσία SSL.

Προειδοποίηση
Αν checksecure σας δίνει το all-σαφές, το μόνο που σημαίνει είναι ότι είστε τώρα εκμεταλλευόμενοι ένα μικροσκοπικό επιλογή των απλών και εύκολες νίκες ασφαλείας. Αυτό είναι μεγάλη, αλλά αυτό δεν σημαίνει ότι το site σας ή το κομμάτι του κώδικα σας είναι ασφαλές: μόνο ένας έλεγχος ασφαλείας αρμόδια να σας πω ότι.
Τεκμηρίωση
Δείτε την πλήρη τεκμηρίωση για περισσότερες λεπτομέρειες

Τι είναι καινούργιο σε αυτή την έκδοση:.

• Προστέθηκε η ρύθμιση SECURE_HSTS_INCLUDE_SUBDOMAINS. Ευχαριστώ Paul McMillan για την έκθεση και Donald Stufft για το έμπλαστρο. Διορθώνει # 13.
• Προστέθηκε το X-XSS-Προστασία: 1? mode = κεφαλή του μπλοκ. Χάρη Johannas Heller.

Απαιτήσεις :

• Python
• Django