이 태그가 달린 문서 1건
Django는 '배터리 포함'으로 안전한 기본값(ORM·CSRF·템플릿 자동 이스케이프·인증)을 갖추어 올바르게 설정하면 견고합니다. 하지만 사고는 설정에서 일어납니다. 3대 = (1) 운영 환경에서 DEBUG=True = 오류 화면에 설정·환경 변수·시크릿이 노출 (2) SECRET_KEY의 누출(서명·세션의 토대) (3) 인가의 작업 부족(is_staff/권한 확인 누락). 더해 raw()/extra()나 문자열 결합에 의한 SQLi, pickle 등의 안전하지 않은 역직렬화, ALLOWED_HOSTS 미설정, 의존성(pip)의 CVE. 방어 = 운영 DEBUG=False·SECRET_KEY는 환경에서·인가를 명시.