Django保護敏感資訊

摘要： Django在安全性上表現出色，但是在日常開發中難免會有沒有注意到的地方，今天我們就講一個非常有用的技巧。 千萬不要在正式環境中設定DEBUG=True,除非你想跑路 sensitive_variables 眾所周知Django的發生異常的時候會有錯誤資訊，弄不好，不懷好意的人就通...

Django在安全性上表現出色，但是在日常開發中難免會有沒有注意到的地方，今天我們就講一個非常有用的技巧。

千萬不要在正式環境中設定DEBUG=True,除非你想跑路

sensitive_variables

眾所周知Django的發生異常的時候會有錯誤資訊，弄不好，不懷好意的人就通過這些不經意的資訊，提出到銘感資訊，我們可以使用sensitive_variables處理敏感資訊。

from django.views.decorators.debug import sensitive_variables

@sensitive_variables('user', 'password', 'other')
def process_info(user):
password = user.pass_word
other = user.credit_card_number
name = user.name
...

這樣在發生錯誤的時候Django會做脫敏處理。

保護所有變數

@sensitive_variables()
def my_function():
...

注意：如果有多個裝飾器，需要把這個放在第一個。

處理post的sensitive_post_parameters

sensitive_post_parameters 和上面的類似只是它是用來處理post請求的。

from django.views.decorators.debug import sensitive_post_parameters

@sensitive_post_parameters('pass_word', 'credit_card_number')
def record_user_profile(request):
UserProfile.create(
user=request.user,
password=request.POST['pass_word'],
credit_card=request.POST['credit_card_number'],
name=request.POST['name'],
)

或者處理所有引數

@sensitive_post_parameters()
def my_view(request):
...

更多資訊請閱讀：官方文件