编辑“︁Django安全最佳实践”︁

= Django安全最佳实践 =

== 介绍 ==  
Django是一个强大的Python Web框架，内置了许多安全功能，但开发者仍需遵循最佳实践来确保应用的安全性。本章将详细介绍Django中的关键安全措施，包括跨站脚本（XSS）防护、跨站请求伪造（CSRF）防护、SQL注入防护、密码管理以及其他常见漏洞的防范方法。无论是初学者还是高级用户，均可通过本指南掌握如何构建安全的Django应用。

== 核心安全功能 ==  

=== 1. 跨站脚本（XSS）防护 ===  
Django模板系统默认自动转义HTML、JavaScript和CSS内容，防止XSS攻击。例如：  
<syntaxhighlight lang="python">  
# 视图中传递用户输入  
from django.shortcuts import render  

def example_view(request):  
    user_input = "<script>alert('XSS');</script>"  
    return render(request, 'template.html', {'user_input': user_input})  
</syntaxhighlight>  

在模板中，Django会自动转义：  
<syntaxhighlight lang="django">  
<!-- template.html -->  
{{ user_input }}  {# 输出转义后的内容：&lt;script&gt;alert('XSS');&lt;/script&gt; #}  
</syntaxhighlight>  

若需标记内容为安全，需显式使用<code>|safe</code>过滤器，但需谨慎：  
<syntaxhighlight lang="django">  
{{ user_input|safe }}  {# 仅当内容可信时使用 #}  
</syntaxhighlight>  

=== 2. 跨站请求伪造（CSRF）防护 ===  
Django通过中间件<code>django.middleware.csrf.CsrfViewMiddleware</code>自动防护CSRF攻击。表单中需包含<code>{% csrf_token %}</code>：  
<syntaxhighlight lang="django">  
<form method="post">  
    {% csrf_token %}  
    <input type="text" name="data">  
    <button type="submit">Submit</button>  
</form>  
</syntaxhighlight>  

对于AJAX请求，需在请求头中添加CSRF令牌：  
<syntaxhighlight lang="javascript">  
// 使用JavaScript  
const csrftoken = document.querySelector('[name=csrfmiddlewaretoken]').value;  
fetch('/api/endpoint/', {  
    method: 'POST',  
    headers: { 'X-CSRFToken': csrftoken },  
    body: JSON.stringify({ data: 'example' })  
});  
</syntaxhighlight>  

=== 3. SQL注入防护 ===  
Django的ORM自动转义SQL查询参数。避免使用原生SQL或<code>extra()</code>，优先使用ORM方法：  
<syntaxhighlight lang="python">  
# 安全示例  
from django.db import models  

User.objects.filter(username=request.GET['username'])  # 自动防护注入  

# 危险示例（避免！）  
query = "SELECT * FROM users WHERE username = '%s'" % request.GET['username']  
User.objects.raw(query)  # 可能引发注入  
</syntaxhighlight>  

=== 4. 密码管理 ===  
Django默认使用PBKDF2算法哈希密码，可通过<code>PASSWORD_HASHERS</code>配置更安全的算法（如Argon2）：  
<syntaxhighlight lang="python">  
# settings.py  
PASSWORD_HASHERS = [  
    'django.contrib.auth.hashers.Argon2PasswordHasher',  # 推荐  
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',  
]  
</syntaxhighlight>  

=== 5. 文件上传安全 ===  
限制上传文件的类型和大小，避免恶意文件执行：  
<syntaxhighlight lang="python">  
# forms.py  
from django import forms  

class UploadFileForm(forms.Form):  
    file = forms.FileField(  
        validators=[  
            FileExtensionValidator(allowed_extensions=['pdf', 'jpg']),  # 限制扩展名  
        ]  
    )  
</syntaxhighlight>  

== 实际案例 ==  

=== 案例1：XSS漏洞修复 ===  
**场景**：用户评论系统未转义HTML，导致恶意脚本执行。  
**修复**：使用Django模板自动转义或<code>django-bleach</code>清理内容。  

=== 案例2：CSRF绕过漏洞 ===  
**场景**：API端点未验证CSRF令牌，允许未授权操作。  
**修复**：确保所有POST请求包含<code>{% csrf_token %}</code>或自定义中间件验证。  

== 进阶配置 ==  

=== 安全头部配置 ===  
通过<code>django.middleware.security.SecurityMiddleware</code>增强HTTP安全头部：  
<syntaxhighlight lang="python">  
# settings.py  
SECURE_BROWSER_XSS_FILTER = True  
SECURE_CONTENT_TYPE_NOSNIFF = True  
SECURE_HSTS_SECONDS = 31536000  # 启用HSTS  
</syntaxhighlight>  

=== 会话安全 ===  
配置会话Cookie为HttpOnly和Secure：  
<syntaxhighlight lang="python">  
SESSION_COOKIE_HTTPONLY = True  
SESSION_COOKIE_SECURE = True  # 仅HTTPS  
</syntaxhighlight>  

== 总结 ==  
Django内置的安全功能需结合开发者实践才能最大化防护效果。关键点包括：  
* 始终使用模板自动转义  
* 启用CSRF中间件  
* 避免直接拼接SQL查询  
* 定期更新Django版本以修复漏洞  

<mermaid>  
graph TD  
    A[用户输入] --> B{是否可信?}  
    B -->|是| C[使用|safe过滤器]  
    B -->|否| D[自动转义]  
</mermaid>  

通过遵循上述实践，可显著降低Django应用的安全风险。

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django安全]]