django-secure

-django securizat este o aplicatie Django care vă ajută să vă amintiți de a face lucrurile mici stupide pentru a îmbunătăți securitatea site-ului dvs. Django lui.
Inspirat de liniile directoare Mozilla Codificare Secure, și care este destinat pentru site-urile care sunt în întregime sau în mare parte a servit peste SSL (care ar trebui să includă nimic cu datele de conectare de utilizator).
Quickstart
Testat cu Django 1.2 prin trunchi, iar Python 2.5 prin 2.7. Destul de probabil funcționează cu versiuni mai vechi ale ambelor, deși; nu e foarte complicat.
Instalare
Instalare de la PyPI cu PIP:
Pip instala-Django securizat
sau pentru a obține versiunea în dezvoltare:
Pip instala-django securizat == dev
Utilizare
- Adauga "djangosecure" pentru setarea INSTALLED_APPS.
- Adauga "djangosecure.middleware.SecurityMiddleware" pentru setarea MIDDLEWARE_CLASSES (în cazul în care depinde de alte middleware tale, dar aproape de începutul listei este, probabil, o alegere bună).
- Setați SECURE_SSL_REDIRECT la True dacă toate cererile de bază non-SSL ar fi directionat permanent la SSL.
- Setați SECURE_HSTS_SECONDS stabilesc la un număr întreg de secunde, dacă doriți să utilizați HTTP Transport stricte de securitate.
- Setați SECURE_FRAME_DENY la True, dacă doriți, pentru a preveni încadrare a paginilor si a le proteja de clickjacking.
- Set SESSION_COOKIE_SECURE și SESSION_COOKIE_HTTPONLY la True dacă utilizați django.contrib.sessions. Aceste setări nu sunt parte din Django-sigure, dar ele ar trebui să fie utilizate în cazul în care rulează un site securizat, iar comanda de management checksecure va verifica valorile lor.
- Run python manage.py checksecure pentru a verifica dacă setările sunt configurate corespunzător pentru a servi un site securizat SSL.

Avertisment
Dacă checksecure vă oferă toate-clar, tot ce înseamnă că sunteți luați acum profita de o selecție mic de victorii simple și ușor de securitate. Asta-i grozav, dar aceasta nu înseamnă site-ul dvs. sau codebase dumneavoastră este sigur: doar un audit de securitate competent vă pot spune.
Documentation
Consultați documentația completă pentru mai multe detalii

Ce este nou în această versiune:.

• Adaugata setarea SECURE_HSTS_INCLUDE_SUBDOMAINS. Multumesc Paul McMillan pentru raport și Donald Stufft pentru patch-uri. Corecții # 13.
• Adaugata X-XSS-Protecția: 1; mode = antet bloc. Mulțumesc Johannas Heller.

Cerințe :

• Python
• Django