Django有多安全

Question

我的一位客户问我这个问题.我甚至不确定要回复什么？我不是安全专家,只是一个Web开发人员.我该说什么？

Answer 1

默认情况下,Django可以防止最常见的安全错误:

• XSS(跨站点脚本)保护 - 默认情况下,Django模板系统会转义变量,除非它们被明确标记为安全.
• CSRF(跨站点请求伪造)保护 - 易于全局打开,保证表单(POST请求)从您自己的站点发送.
• SQL注入保护 - Django使用内置的ORM,因此不存在SQL注入的风险(原始查询是可能的,但绝不是初学者需要使用的东西).

其他安全功能:

• 点击劫持保护 - Django可以检测何时未经授权请求内容iframe
• 安全密码哈希 - Django默认使用PBKDF2,另一个选项是bcrypt.两者都对彩虹表的使用具有弹性(由于盐),两者都有很长的计算时间来防止容易暴力.

值得注意的是,Django是用Python实现的,它具有出色的安全跟踪记录.因此,基础语言不是安全风险.

有关Django安全性的更多信息:https://docs.djangoproject.com/en/stable/topics/security/

Answer 2

Django和任何Web框架一样安全.它提供了工具和文档来防止导致安全问题的常见错误(csrf,xss等)

但是,工具本身不能"安全".整个平台的安全性取决于您选择的工具的正确使用,因此更多的是开发人员技能问题.

Answer 3

作为一个Web框架,它有一些功能可以帮助您确保站点安全.你不能直接说一个安全的网络框架.

最后,它是关于您的客户如何设计他的项目的.Django用于大型项目,因此已被证明可用于生产环境.DISQUS就是最好的例子之一.#

如果您的客户愿意付出一些努力来保护他的网站,他可以使用django或任何其他框架,但它不是使网站安全的框架,而是开发人员如何使用框架.