ジャンゴセキュアあなたのDjangoサイトのセキュリティを向上させるために愚かなささいなことを行うには覚えているのに役立ちますDjangoのアプリです。
Mozillaの安全なコーディングガイドラインに触発され、完全にまたは主にSSL経由で提供されているサイトを対象とし(ユーザーログインを使って何を含めるべきである)。
のクイックスタートの
2.7を通じてトランクを通じてジャンゴ1.2、およびPython 2.5でテスト。かなり可能性が高いしかし両方の古いバージョン、で動作します。それは非常に複雑ではありません。
<強い>インストールの
PIPでPyPIのからインストールします。
ジャンゴ - セキュアなインストールPIP
または開発中のバージョンを取得する:
ジャンゴセキュア== DEVをインストールピップ
の使用法の
- あなたのINSTALLED_APPS設定に「djangosecure "を追加します。
- あなたのMIDDLEWARE_CLASSES設定に「djangosecure.middleware.SecurityMiddleware "を追加します(あなたの他のミドルウェアに依存しますが、リストの最初の方はおそらく良い選択である)。
- すべての非SSL要求が永久にSSLにリダイレクトする必要がある場合は、trueに設定SECURE_SSL_REDIRECTを設定します。
- あなたは、HTTP厳格なトランスポートセキュリティを使用する場合は、秒の整数に設定SECURE_HSTS_SECONDSを設定します。
- あなたのページのフレーミングを防ぎ、クリックジャッキングからそれらを保護する場合は、Trueに設定SECURE_FRAME_DENYを設定します。
- Trueに設定さSESSION_COOKIE_SECUREとSESSION_COOKIE_HTTPONLYあなたがdjango.contrib.sessionsを使用している場合。これらの設定は、ジャンゴ·安全なの一部ではありませんが、彼らは安全なサイトを実行している場合は、使用されるべきである、とchecksecure管理コマンドは、それらの値をチェックします。
- あなたの設定が正しく安全なSSLサイトにサービスを提供するために構成されていることを確認するために、実行のpython manage.pyのchecksecure。
<強い>
警告の
checksecureはあなたにオールクリアを与えた場合、それが意味し、すべてはあなたが今、シンプルで使いやすいセキュリティ勝の小さな選択を利用しているということです。それは素晴らしいことだが、それはあなたのサイトやあなたのコードベースが安全であるというわけではありません:だけで有能なセキュリティ監査はあなたにそれを伝えることができます。
のドキュメントの
詳細については、完全なドキュメントを参照してください。
のこのリリースで新しいのあるもの:ます。
- SECURE_HSTS_INCLUDE_SUBDOMAINSの設定を追加しました。パッチのレポートをありがとうポール·マクミランとドナルドStufft。修正#13ます。
- は、X-XSS-保護を追加しました:1;モード=ブロックヘッダー。おかげJohannasヘラーます。
の要件の
- のPythonます。
- ジャンゴます。
コメントが見つかりません