我的一个客户问我这个问题。我什至不知道该回复什么?我不是安全专家,只是一名网络开发人员。我能说什么?
最佳答案
默认情况下,Django 会阻止最常见的安全错误:
- XSS(跨站脚本)保护 - Django 模板系统默认转义变量,除非它们被明确标记为安全。
- CSRF(跨站点请求伪造)保护 - 易于在全局范围内开启,保证表单(POST 请求)从您自己的站点发送。
- SQL注入(inject)保护——Django使用内置的ORM,因此不存在SQL注入(inject)的风险(原始查询是可能的,但绝不是初学者需要使用的东西)。
其他安全功能:
- Clickjacking protection — Django 可以检测何时未经授权请求内容
iframe - 安全密码哈希 - Django 默认使用 PBKDF2 ,另一个选项是bcrypt 。两者都能够适应彩虹表的使用(感谢盐),两者都有大量的计算时间来防止简单的暴力破解。
还需要注意的是,Django 是用 Python 实现的,Python 具有出色的安全记录。因此底层语言不存在安全风险。
有关 Django 安全性的更多信息:https://docs.djangoproject.com/en/stable/topics/security/
关于django - Django 的安全性如何,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6843161/