django-secure

Django-secure na ay isang Django app na tumutulong sa iyo na tandaan na gawin ang ugok maliit na bagay upang mapabuti ang seguridad ng iyong site Django.
May inspirasyon ng Secure coding Mozilla Alituntunin, at nilayon para sa mga site na ganap o halos hinahain sa pamamagitan ng SSL (na dapat kasama sa kahit ano sa mga pag-login ng user).
Quickstart
Nasubukan na may Django 1.2 sa pamamagitan ng puno ng kahoy, at Python 2.5 sa pamamagitan ng 2.7. Medyo malamang gumagana sa mga mas lumang mga bersyon ng parehong, bagaman; ito ay hindi masyadong kumplikado.
Pag-install
I-install mula sa PyPI na may buto ng bungang-kahoy:
buto ng bungang-kahoy-install Django-secure na
o kumuha ng in-unlad na bersyon:
buto ng bungang-kahoy-install Django-secure na == dev
Paggamit
- Idagdag ang "djangosecure" sa iyong setting INSTALLED_APPS.
- Idagdag ang "djangosecure.middleware.SecurityMiddleware" sa iyong setting MIDDLEWARE_CLASSES (kung saan ay depende sa iyong iba pang mga middlewares, ngunit malapit sa simula ng listahan ay marahil isang magandang pagpipilian).
- Itakda ang setting na SECURE_SSL_REDIRECT sa True kung ang lahat ng mga kahilingan sa non-SSL ay dapat na permanenteng redirect sa SSL.
- Itakda ang SECURE_HSTS_SECONDS-set sa isang integer bilang ng mga segundo, kung nais mong gamitin ang HTTP Mahigpit Transport Security.
- Itakda ang setting na SECURE_FRAME_DENY sa True, kung nais mong maiwasan ang pag-frame ng iyong mga pahina at protektahan ang mga ito mula sa clickjacking.
- Itakda ang SESSION_COOKIE_SECURE at SESSION_COOKIE_HTTPONLY sa True kung ikaw ay gumagamit django.contrib.sessions. Ang mga setting ay hindi bahagi ng Django-secure, ngunit dapat nilang gamitin kung tumatakbo ang isang secure na site, at ang utos ng pamamahala ng checksecure Susuriin ang kanilang mga halaga.
- Run python manage.py checksecure upang i-verify na ang iyong mga setting ay maayos na naka-configure para sa paghahatid ng secure SSL site.

Babala
Kung checksecure nagbibigay sa iyo ng lahat-ng malinaw, lahat ay nangangahulugang ito ay na ka na ngayon sinasamantala ng isang maliit na seleksyon ng mga simple at madaling panalo sa seguridad. Iyan ay mahusay, ngunit hindi ito nangangahulugan na ang iyong site o ng iyong codebase ay ligtas: lamang ng isang karampatang pag-audit sa seguridad ay maaaring sabihin sa iyo na.
Documentation
Tingnan ang buong dokumentasyon para sa higit pang mga detalye

Ano ang bagong sa paglabas:.

• Idinagdag ang setting SECURE_HSTS_INCLUDE_SUBDOMAINS. Salamat Paul McMillan para sa ulat at Donald Stufft para sa patch. Pag-aayos ng # 13.
• Idinagdag ang X-XSS-Proteksiyon: 1; mode = block header. Salamat Johannas Heller.

Mga Kinakailangan :

• Python
• Django