那些遇到过的问题

通过Django提供静态文件的安全性问题?

jl6*_*jl6 8 security django webserver

官方文档说的staticfiles serve查看:

......这种观点非常低效,可能不安全

此警告是否仅适用于此特定视图,或者是否存在通过Django提供静态文件的概念中固有的安全问题?这些是什么?假设我已经对我的应用程序进行了基准测试并且性能可以接受,那么我还应该注意其他任何问题吗?

Tho*_*zco 9

这是不安全的,因为它不必是安全的

通过Django的静态文件服务意味着你通过Python代码做一些你的服务器会做显著更有效.

鉴于服务静态文件在性能方面是灾难性的,没有人会在生产中使用它.
因此,没有人关心在Django中提供静态文件的安全性.
因此,这种观点 可能不安全.

最终,它与开发服务器的理由相同.你不应该在生产中使用它而不是一个人致力于使其安全.它对开发来说很实用.

此外,低效的东西会让你暴露于DoS攻击.所以,是的,这是不安全的.

但你不应该使用它.

你为什么要通过Django提供静态文件?是否可以控制对这些文件的访问?

如果是,则应使用X-Accel-Redirect(Nginx)或X-Sendfile(Apache)标头.

但是不要自己动手,使用:https://github.com/johnsensible/django-sendfile

归档时间:

查看次数:

876 次

最近记录:

12 年,11 月 前
相关归档
尝试编写只读数据库 - Django w/SELinux错误 45
什么时候应该使用AccessController.doPrivileged()? 35
如何在python中动态创建对象? 15
如何在Django模型对象上记忆昂贵的计算? 14
为什么filter_input()不完整? 12
REST API和消息级安全性 10
如何在Python-RQ中创建多个worker? 10
使用Visual Studio在XP上运行IIS Developer Express 7
在 Android 上设置 Charles 代理时互联网连接丢失 7
在Jelly Bean设备上读取ActivityManager -log? 6
难疑归档
如何重定向到其他网页? 7725
如果我有jQuery背景,"在AngularJS中思考"? 4518
如何克隆或复制列表? 2289
JavaScript .prototype如何工作? 1988
如何在MySQL中使用命令行导入SQL文件? 1836
在JavaScript中解析JSON? 1642
在JavaScript中生成两个数字之间的随机数 1635
在jQuery中检测移动设备的最佳方法是什么? 1564
如何在SQL中使用JOIN执行UPDATE语句? 1262
使用node.js作为简单的Web服务器 1068