このタグの記事 1 件
Djangoは『バッテリー同梱』で安全な既定(ORM・CSRF・テンプレート自動エスケープ・認証)を備え、正しく設定すれば堅い。だが事故は設定で起きる。三大=(1)本番でDEBUG=True=エラー画面に設定・環境変数・秘密が露出(2)SECRET_KEYの漏えい(署名・セッションの土台)(3)認可の作り込み不足(is_staff/権限チェック漏れ)。加えてraw()/extra()や文字列連結によるSQLi、pickle等の安全でないデシリアライズ、ALLOWED_HOSTS未設定、依存(pip)のCVE。守り=本番DEBUG=False・SECRET_KEYを環境から・認可を明示。