django-secure ist ein Django-Applikation, die Sie daran denken, die dumme kleine Dinge, um die Sicherheit Ihrer Django Website zu verbessern tun können.
Inspiriert durch Sichere Coding Richtlinien Mozilla und für Websites, die ganz oder überwiegend über SSL serviert werden (was nichts mit Benutzeranmeldungen umfassen sollte) vorgesehen.
Quickstart
Getestet mit Django 1.2 durch Rumpf und Python 2.5 bis 2.7. Sehr wahrscheinlich funktioniert mit älteren Versionen der beiden, obwohl; es ist nicht sehr kompliziert.
Installation
Installieren von PyPI mit pip:
pip django-sichere Installation
oder nutzen Sie die in-Entwickler-Version:
pip django-sichere == dev installieren
Verwendung
- Hinzufügen "djangosecure", um Ihre Einstellung INSTALLED_APPS.
- Hinzufügen "djangosecure.middleware.SecurityMiddleware", um Ihre Einstellung MIDDLEWARE_CLASSES (wo hängt von Ihren anderen Middleware, aber in der Nähe der Anfang der Liste ist wahrscheinlich eine gute Wahl).
- Stellen Sie die SECURE_SSL_REDIRECT Einstellung auf True, wenn alle nicht-SSL-Anforderungen sollte dauerhaft auf SSL umgeleitet werden.
- Stellen Sie die SECURE_HSTS_SECONDS Einstellung auf eine ganze Zahl von Sekunden, wenn Sie HTTP Strict Transport Security verwenden möchten.
- Stellen Sie die SECURE_FRAME_DENY Einstellung auf True, wenn Sie die Gestaltung Ihrer Seiten zu verhindern und sie vor Clickjacking schützen wollen.
- Set SESSION_COOKIE_SECURE und SESSION_COOKIE_HTTPONLY auf True, wenn Sie django.contrib.sessions werden. Diese Einstellungen sind nicht Teil der Django-sichere, aber sie sollten, wenn läuft eine sichere Website verwendet werden, und der Befehl checksecure Management werden ihre Werte zu überprüfen.
- Run python manage.py checksecure zu überprüfen, ob Ihre Einstellungen korrekt für die Zustellung eines sicheren SSL-Website konfiguriert.
Warnung
Wenn checksecure gibt Ihnen die Entwarnung, ist alles, es bedeutet, dass Sie nun du die Vorteile einer kleinen Auswahl an einfachen und leicht Sicherheit gewinnt. Das ist toll, aber es bedeutet nicht, dass Ihre Website oder Ihre Codebasis ist sicher: Nur ein kompetenter Sicherheitsüberprüfung können Sie das sagen.
Dokumentation
Die vollständige Dokumentation für weitere Details
Was ist neu in dieser Pressemitteilung:.
- wurde hinzugefügt SECURE_HSTS_INCLUDE_SUBDOMAINS Einstellung. Dank Paul McMillan für den Bericht und Donald Stufft für den Patch. Fixes # 13.
- Hinzugefügt wurde die X-XSS-Schutz: 1; mode = Bausteinkopf. Dank Johannas Heller.
Anforderungen :
- Python
- Django
Kommentare nicht gefunden