django 默认不实现内容安全策略吗?

【问题标题】:Doesn't django implement Content Security Policy by default?django 默认不实现内容安全策略吗?
【发布时间】:2021-06-16 23:36:02
【问题描述】:

在一个 RoR 项目中,我在主 html 文件中有 <%= csp_meta_tag %>

我试图用我在 RoR 的知识在 Django 中构建一个概念应用程序,但是在搜索 Django Content Security Policy 时,只出现一个扩展名 (https://django-csp.readthedocs.io/en/latest/)。

没有关于该主题的文档,所以 Django 是否有可能默认不解决这个常见的安全问题?

另外,我只发现了this SO 问题。

【问题讨论】:

    标签: django content-security-policy


    【解决方案1】:

    还有django-security package,但supports not all 现有CSP 令牌和指令。

    我认为 Python 程序员只是使用HttpResponse object 来做一些简单的事情,比如发出 CSP HTTP 头。

    但有趣的是,Django 有内置的中间件来管理X-Frame-Options header,而 CSP 没有类似的。
    并且删除长期不受支持的 X-XSS-Protection 标头仅在 Django 4.0 中为 planned

    【讨论】:

      猜你喜欢
      • 2020-06-14
      • 2015-10-16
      • 1970-01-01
      • 2023-01-07
      • 2018-10-29
      • 2015-04-27
      • 2021-10-13
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode