【问题标题】:Security issues with serving static files through Django?通过 Django 提供静态文件的安全问题?
【发布时间】:2013-03-21 15:50:12
【问题描述】:

静态文件serve 视图中的official docs 说:

...这种观点非常低效并且可能不安全

此警告是否仅适用于此特定视图,或者通过 Django 提供静态文件的概念是否存在固有的安全问题?这些是什么?假设我已经对我的应用程序进行了基准测试并且性能可以接受,是否还有其他问题需要注意?

【问题讨论】:

    标签: django security webserver


    【解决方案1】:

    它是不安全的,因为它不一定是安全的

    通过 django 提供静态文件意味着您通过 Python 代码来执行您的网络服务器会显着更有效地执行的操作。

    鉴于提供静态文件在性能方面是灾难性的,没有人会在生产中使用它
    因此,没有人关心在 Django 中提供静态文件的安全性
    因此,这种观点可能是不安全的


    最终,这与开发服务器的基本原理相同。您不应该在生产中使用它,也没有人致力于使其安全。这对开发来说很实用。

    此外,效率低下的东西会使您受到 DoS 攻击。所以是的,这是不安全的。

    但你不应该使用它。

    为什么要通过 Django 提供静态文件?是控制对这些文件的访问吗?

    如果是,您应该使用 X-Accel-Redirect(Nginx) 或 X-Sendfile (Apache) 标头。

    但不要自己动手,使用:https://github.com/johnsensible/django-sendfile

    【讨论】:

      猜你喜欢
      • 2011-01-27
      • 2011-10-20
      • 2015-12-15
      • 1970-01-01
      • 1970-01-01
      • 2014-07-25
      • 1970-01-01
      • 2015-09-14
      • 2023-03-18
      相关资源
      最近更新 更多