该标签下有 1 篇文章
Django 主打“开箱即用”,自带安全默认值(ORM、CSRF、自动转义、auth),但事故来自配置。这是一份实务参考:(1) 优先级排序的加固清单(P0–P2);(2) 分领域指引——DEBUG=False + ALLOWED_HOSTS、把 SECRET_KEY 外置、pip 依赖 CVE、生产环境安全配置(SECURE_SSL_REDIRECT/HSTS/SESSION_COOKIE_SECURE 等)、授权(所有者范围)、注入与输出(raw/extra、mark_safe)、CSRF/会话/admin、SSRF/上传;(3) 自查清单。仅防御,不含攻击步骤。