1 artículo con esta etiqueta
Django viene 'con las pilas incluidas' y valores por defecto seguros (ORM, CSRF, autoescape de plantillas, auth) y es sólido si se configura correctamente. Pero los incidentes vienen de la configuración. Los tres grandes: (1) DEBUG=True en producción que expone ajustes, variables de entorno y secretos en la página de error, (2) una SECRET_KEY filtrada (la base de firmas/sesiones), (3) autorización débil (faltan comprobaciones de is_staff/permission). Además, SQLi por raw()/extra() o interpolación de cadenas, deserialización insegura (pickle), ALLOWED_HOSTS sin configurar y CVE de dependencias (pip). Defensas: DEBUG=False en prod, SECRET_KEY desde el entorno, autorización explícita.