Django保護敏感資訊
Django在安全性上表現出色,但是在日常開發中難免會有沒有注意到的地方,今天我們就講一個非常有用的技巧。
千萬不要在正式環境中設定DEBUG=True,除非你想跑路
sensitive_variables
眾所周知Django的發生異常的時候會有錯誤資訊,弄不好,不懷好意的人就通過這些不經意的資訊,提出到銘感資訊,我們可以使用sensitive_variables處理敏感資訊。
from django.views.decorators.debug import sensitive_variables @sensitive_variables('user', 'password', 'other') def process_info(user): password = user.pass_word other = user.credit_card_number name = user.name ...
這樣在發生錯誤的時候Django會做脫敏處理。
保護所有變數
@sensitive_variables() def my_function(): ...
注意:如果有多個裝飾器,需要把這個放在第一個。
處理post的sensitive_post_parameters
sensitive_post_parameters 和上面的類似只是它是用來處理post請求的。
from django.views.decorators.debug import sensitive_post_parameters @sensitive_post_parameters('pass_word', 'credit_card_number') def record_user_profile(request): UserProfile.create( user=request.user, password=request.POST['pass_word'], credit_card=request.POST['credit_card_number'], name=request.POST['name'], )
或者處理所有引數
@sensitive_post_parameters() def my_view(request): ...
更多資訊請閱讀:官方文件