如何检查 Django 安全漏洞以及如何修复它们

Posted 2023-02-24

【中文标题】如何检查 Django 安全漏洞以及如何修复它们

【英文标题】：How to check Django security vulnerabilities and how to fix them

【发布时间】：2019-02-23 14:41:52

【问题描述】：

首先我使用 Django 2.1 + Python 3.6

我不得不承认 Django 是一个框架，它让开发人员的生活变得更加轻松，即使它是相对的。

现在我们已经编写了一个 Django 项目，完成了测试，部署了它的 web 应用程序；

问题：

没有特别涵盖的安全点有哪些？ 姜戈？

我们能否提供一份与网站相关的漏洞清单 姜戈？

有哪些重要的安全测试可以确保用 Django 编写的应用程序的稳定性？

【问题讨论】：

见docs.djangoproject.com/en/2.1/topics/security。否则这个问题对于这个网站来说是题外话（太笼统了）

至于安全威胁：OWASP 有一些清单，在部署系统之前最好先看看：owasp.org/index.php/…

pyscoop.com/security-in-the-django-application

【参考方案1】：

使用Observatory by Mozilla 站点扫描您站点的安全状态。该网站还包括第三方扫描仪，用于测试您网站的其他安全方面。

以下是给定站点的扫描结果示例：

最好的成绩是 A+（分数甚至可以超过 100%），但即使网站已通过基本部署检查表，也不要惊讶网站得分为 F（不及格）。

为了提高您的网站安全性，请确保您的 settings.py 中有这些设置：

CSRF_COOKIE_SECURE = True
CSRF_COOKIE_SAMESITE = 'Strict'
SESSION_COOKIE_SECURE = True
SECURE_BROWSER_XSS_FILTER = True
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_SSL_REDIRECT = True
X_FRAME_OPTIONS = 'DENY'
SECURE_HSTS_SECONDS = 300  # set low, but when site is ready for deployment, set to at least 15768000 (6 months)
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

然后使用SRI Hash Generator 确保您的所有脚本都从第三方站点安全加载。

最后，实施起来最具挑战性和最耗时的是内容安全策略 (CSP)，尤其是在网站很大、包含大量第三方代码、大量内联脚本和样式分散的情况下在项目之上。为了使任务更容易，您可以安装 Mozilla's django-csp 并使用浏览器的控制台来跟踪代码中的安全违规行为。您还需要在settings.py 中填写以下设置：

CSP_DEFAULT_SRC = ("'none'",)
CSP_STYLE_SRC = ("'self'",)
CSP_SCRIPT_SRC = ("'self'",)
CSP_FONT_SRC = ("'self'",)
CSP_IMG_SRC = ("'self'",)

This site helps to explain about CSP and what to do with inline scripts.

或者，您可以安装 django-referrer-policy 来设置 Referrer-Policy 标头以增加安全性（和更高级别！）。

我自己也是初学者，以上所有内容均基于我的研究以及我为提高网站安全性所做的工作。

【讨论】：

SECURE_SSL_REDIRECT = True 导致移动浏览器出现Could not open the page, too many redirects 错误。

【参考方案2】：

您可以执行的安全检查之一是Deployment checklist

运行

manage.py check --deploy

其他安全检查可以参考official docs