XSS 攻击允许用户将客户端脚本注入到其他用户的浏览器中。这通常是通过将恶意脚本存储在数据库中,在那里它将被检索并显示给其他用户,或者通过让用户点击一个链接,使攻击者的 JavaScript 被用户的浏览器执行来实现。然而,XSS 攻击可以来自任何不受信任的数据源,如 cookie 或网络服务,只要数据在被纳入页面之前没有被充分净化。
Django 模板可以保护您免受大多数 XSS 攻击。但是了解它提供了怎样的保护,以及有什么限制是很重要的。
对于 HTML 来说,Django 模板中的 转义特殊字符 是尤其危险的。虽然它保护用户免受大多数恶意输入的攻击,但并非万无一失。比如,出现下面这种情况就会保护失效:
如果 var
被设置为 'class1 onmouseover=javascript:func()'
,将导致未经授权的 JavaScript 脚本执行,这取决于浏览器如何渲染有缺陷的HTML。(引用属性值可以解决这个问题)
与此不相上下的还有在使用带有自定义模板标签的 is_safe
,safe模板标签,mark_safe,以及关闭自动转义时要特别小心。
此外,如果使用模板系统输出了除 HTML 之外的内容,可能会有完全独立的字符和单词需要转义。
您在将 HTML 储存到数据库中时也要非常小心,特别是在检索和显示 HTML 的时候。
发起 CSRF 攻击的人可以使用其他用户的证书执行操作,且是在其不知情或不同意的情况下。
Django 内置了保护措施来防御大多数 CSRF 攻击,您需要在合适的地方 授权并使用他 。但和多数缓解性技术一样,它是有局限性的。比如可以全局禁用 CSRF 模块或者特定的视图。请三思而后行。如果您的网页还有脱离您控制的子域,还将会有其他 限制。
CSRF 保护机制通过检查每一个 POST 请求中的密文来实现。这保证恶意用户不能“复现”一个表单并用 POST 提交到你的网页,并让一个已登录用户无意中提交该表单。恶意用户必须知道特定于用户的密文(使用 cookie)。
在部署HTTPS 时,CsrfViewMiddleware
会检查 HTTP 报文的 referer 首部是否设置为同源的 URL(包括子域和端口)。因为 HTTPS 提供了额外的安全性,所有通过转发不安全连接请求并在支持的浏览器中使用 HSTS 来确保连接在可用的地方使用了 HTTPS ,这一点是很重要的。
除非绝对需要,否则对视图进行标记 csrf_exempt
装饰器时要极其慎重。
SQL 注入能让恶意用户能在数据库中执行任意 SQL 代码。这将导致记录被删除或泄露。
Django 的 querysets 在被参数化查询构建出来时就被保护而免于 SQL 注入。查询的 SQL 代码与查询的参数是分开定义的。参数可能来自用户从而不安全,因此它们由底层数据库引擎进行转义。
Django 也为开发者提供了书写原始查询或执行自定义 sql 的权力。应当尽可能少地使用这些方法,并且您应该小心并准确地转义一切用户可控的参数。另外,在使用 extra()和 RawSQL
时应当小心谨慎。
访问劫持能让恶意网页覆盖另一个网页。可能会有毫不知情的用户被骗入目标网页并执行意料之外的操作。
Django 包含 访问劫持保护
,以 X-Frame-Options middleware
的形式在支持它的浏览器中阻止一个网页被渲染在 frame 的内部。可在每个视图的基础上禁用保护,也可配置发送的确切头部值。
对于任何不会被第三方网站嵌入 frame 的网页,或者只允许使用一小部分的网页来说,强烈建议使用中间件。
通过 HTTPS 部署您的网页是保障安全的最佳办法。没有它,恶意用户就可以在客户端和服务器之间嗅探验证资格或其他信息,在某些情况下 -- 比如 主动 网络攻击者 -- 会修改发送中的数据。
如果您想得到 HTTPS 的保护,且已经在您的服务器上启用了,下面还有一些额外的步骤需要执行:
如有必要,设置 SECURE_PROXY_SSL_HEADER
,确保您已经彻底的了解了它的警告提示。如果不这么做,将会导致 CSRF 漏洞,如果操作不正确,也是非常危险的。
设置 SECURE_PROXY_SSL_HEADER 为 True
,这样 HTTP 的请求就会被重定向到 HTTPS。
请注意 SECURE_PROXY_SSL_HEADER下的注意事项。对于反向代理的情况,配置主 Web 服务器来做重定向到 HTTPS 可能更容易或更安全。
使用 'secure' cookies。
如果浏览器使用默认的 HTTP 来实现初始连接,可能会导致已有的 cookies 泄露。因此,您应当将 CSRF_COOKIE_SECURE 和 CSRF_COOKIE_SECURE 设置为 True
。这样浏览器就会仅用 HTTPS 连接来发送 cookies。注意,这会使得 sessions 不能再通过 HTTP 工作,且 CSRF 防御机制将会阻止任何通过 HTTP 接收到的 POST 数据(当然把所有 HTTP 都弄成 HTTPS 是最好的)。
使用 HTTP 严格传输安全 (HSTS)
HSTS 是一个 HTTP 标头,它通知浏览器,所有未来连接到一个特定的网站应该始终使用 HTTPS。结合重定向 HTTP 请求到 HTTPS,这将确保连接总是享受 SSL 的额外安全,只要有一个成功的连接发生。HSTS 可以通过 SECURE_HSTS_SECONDS、 SECURE_HSTS_INCLUDE_SUBDOMAINS 和 SECURE_HSTS_PRELOAD 来配置,或者在网络服务器上配置。
在某些情况下,Django 使用客户端提供的 Host
头部来构造 URLs。这些值虽被清理以阻止跨站脚本攻击,但伪造 Host
值还是可以用于跨站请求伪造,缓存毒化攻击,以及电子邮件中的有毒链接。
因为即使看起来安全的服务器配置也容易受到假的 Host
头部信息的影响,Django 依靠定义在 django.http.HttpRequest.get_host() 方法中的 ALLOWED_HOSTS 来验证 Host
头部。
这些验证仅通过 get_host() 来实现;如果您的代码直接从 request.META
得到 Host
头部,您就绕过了这种安全保护机制。
另外,如果您的配置需要,Django 要求您明确启用对 X-Forwarded-Host
标头的支持(通过 USE_X_FORWARDED_HOST 配置)。
浏览器使用 Referer
头部来把关于用户是如何到达那里的信息发送到网站。通过设置 Referrer 策略,限制在哪些情况下设置 Referer
头部,可以保护您用户的隐私。请看 安全中间件参考中的 referrer 策略部分 了解更多细节。
New in Django 4.0.
跨源弹出式窗口策略(COOP)头允许浏览器将一个顶级窗口与其他文档隔离,把它们放在不同的上下文组中,使它们不能直接与顶级窗口交互。如果一个受 COOP 保护的文档打开了一个跨源弹出窗口,该弹出窗口的 window.opener
属性将为 null
。COOP 可以防止跨源攻击。详情请看 安全中间件参考资料中的跨源弹出式窗口策略部分。
类似于 CSRF 限制 要求一个被部署的网页应让不受信任的用户不能访问任何子域,django.contrib.sessions 也有限制。参照 会话主题指南中关于安全的部分 获取更多细节。
备注
考虑从云服务或 CDN 提供静态文件服务来避免此类问题。
如果你的网站接受文件上传,强烈建议你在你的网络服务器配置中把这些上传文件限制在一个合理的大小,以防止拒绝服务(DOS)攻击。在 Apache 中,可以使用 LimitRequestBody 指令轻松设置。
如果您为自己的静态文件提供服务,确保像 Apache 的 mod_php
这种能把静态文件当作代码来执行的处理程序已经关闭。您绝不会希望用户能够通过上传并请求特制文件来执行任意的代码。
如果媒体文件没有遵循安全性最佳惯例,Django 的媒体上传处理会产生一些漏洞。特别的,如果一个 HTML 文件包含合法的 PNG 格式头部并附加一些恶意的 HTML,它是可以作为一个图片文件上传的。该文件将会通过 Django 用于 ImageField 图片处理(Pillow)库的验证。当此文件随后被展示给用户时,它可以被显示为 HTML,这取决于您的服务器类型于配置。
在框架级别上没有防护技术方案可以安全地验证所有用户上传的文件内容,但是您可以采取其他步骤来减轻这些攻击:
example.com
,您应当通过形如 usercontent-example.com
的方式来提供上传内容服务(配置 MEDIA_URL)。仅仅从像 usercontent.example.com
这样的子域提供内容是*不够*的。虽然 Django 开箱即提供了良好的安全保护,但正确部署你的应用程序并利用网络服务器、操作系统和其他组件的安全保护仍然很重要。