编辑“︁Django安全中间件”︁

= Django安全中间件 =

'''Django安全中间件'''（Security Middleware）是Django框架内置的一组中间件组件，负责为Web应用提供基础安全防护。这些中间件默认包含在<code>MIDDLEWARE</code>设置中，通过HTTP头部注入、请求响应处理等方式防范常见Web攻击（如XSS、CSRF、点击劫持等）。

== 核心功能 ==
Django安全中间件主要包含以下功能模块：

=== 1. SecurityMiddleware ===
主安全中间件，提供以下防护：
* '''HTTP严格传输安全（HSTS）'''：强制使用HTTPS连接
* '''内容安全策略（CSP）'''：控制资源加载来源
* '''XSS防护'''：通过<code>X-XSS-Protection</code>头部启用浏览器XSS过滤器
* '''内容类型嗅探防护'''：阻止浏览器MIME类型嗅探

=== 2. CsrfViewMiddleware ===
防护跨站请求伪造（CSRF）攻击，要求所有非安全HTTP方法（POST/PUT/DELETE等）携带CSRF令牌。

=== 3. XFrameOptionsMiddleware ===
通过<code>X-Frame-Options</code>头部防范点击劫持攻击。

== 配置示例 ==
以下是典型的安全中间件配置（位于<code>settings.py</code>）：

<syntaxhighlight lang="python">
MIDDLEWARE = [
    'django.middleware.security.SecurityMiddleware',
    'django.middleware.csrf.CsrfViewMiddleware',
    'django.middleware.clickjacking.XFrameOptionsMiddleware',
    # ...其他中间件...
]

# 安全增强配置
SECURE_HSTS_SECONDS = 31536000  # 1年HSTS有效期
SECURE_CONTENT_TYPE_NOSNIFF = True
SECURE_BROWSER_XSS_FILTER = True
X_FRAME_OPTIONS = 'DENY'
</syntaxhighlight>

== 实际案例 ==
=== 场景：防范点击劫持 ===
当恶意网站通过iframe嵌入你的页面时，<code>XFrameOptionsMiddleware</code>会返回以下响应头：
<syntaxhighlight lang="http">
HTTP/1.1 200 OK
X-Frame-Options: DENY
...
</syntaxhighlight>
浏览器将拒绝在iframe中渲染该页面。

=== 场景：CSRF防护 ===
表单提交时自动添加CSRF令牌：
<syntaxhighlight lang="html+django">
<form method="post">
  {% csrf_token %}
  <input type="text" name="username">
  <button type="submit">Submit</button>
</form>
</syntaxhighlight>
生成的HTML包含隐藏字段：
<syntaxhighlight lang="html">
<input type="hidden" name="csrfmiddlewaretoken" value="32位随机字符串">
</syntaxhighlight>

== 高级配置 ==
=== 自定义CSP策略 ===
通过<code>django-csp</code>扩展可实现细粒度内容控制：
<syntaxhighlight lang="python">
CSP_DEFAULT_SRC = ["'self'"]
CSP_SCRIPT_SRC = ["'self'", "cdn.example.com"]
CSP_STYLE_SRC = ["'self'", "'unsafe-inline'"]
</syntaxhighlight>

=== 安全头部图解 ===
<mermaid>
sequenceDiagram
    Browser->>Django: 发起请求
    Django->>Middleware: 请求处理
    Middleware->>Django: 添加安全头部
    Django->>Browser: 返回响应
    Note right of Browser: 浏览器执行安全策略
</mermaid>

== 数学原理 ==
CSRF令牌验证可表示为：
<math>
\text{ValidToken} = \begin{cases}
1 & \text{if } \text{token} \in \text{ValidTokens} \\
0 & \text{otherwise}
\end{cases}
</math>

== 注意事项 ==
* 测试环境可能需要临时禁用某些安全策略
* 错误配置可能导致功能异常（如CSP过严会阻止合法资源加载）
* 安全中间件不能替代其他安全措施（如输入验证、权限控制）

== 参见 ==
* [[Django官方安全文档]]
* [[OWASP Top 10安全风险]]
* [[HTTP安全头部规范]]

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django安全]]