該標籤下有 1 篇文章
Django 是『電池內建』並備有安全的預設(ORM、CSRF、樣板自動跳脫、認證),設定正確就很穩固。但事故來自設定。三大=(1)正式環境 DEBUG=True,把設定、環境變數、機密暴露在錯誤頁面上(2)SECRET_KEY 外洩(簽章/工作階段的基礎)(3)授權太薄(缺少 is_staff/權限檢查)。此外還有 raw()/extra() 或字串串接造成的 SQLi、不安全的反序列化(pickle)、未設定 ALLOWED_HOSTS,以及相依套件(pip)的 CVE。防禦=正式環境 DEBUG=False、SECRET_KEY 從環境變數載入、把授權寫明確。