2
According to the Documentation使用django.views.static.server()函數是:爲什麼Django函數django.views.static.serve()不安全?
低效和不安全的。
我明白爲什麼它效率低下,但在哪方面insecure?
A
回答
5
它和Django測試服務器本身一樣不安全,對於初學者來說,就像上面的答案所說 - 也就是說,它沒有像CherryPy那樣的「生產就緒」服務器的方式測試任何類型的安全性。因此,用戶訪問他們應該無法訪問的文件可能存在各種潛伏的安全問題;雖然這些通常是固定的,但它們不會被認爲是「優先」的,因爲它們將與生產服務器一起使用,並且沒有人真正在尋找這些東西。
此外,請參閱今年夏天的Django security update,它修復了惡意製作的URL可以讓訪問者訪問Django用戶可以看到的任何文件的情況,即使它不在靜態根目錄下。它是固定的,但應該讓你知道爲什麼你應該在生產環境中使用Real Server。
3
django.views.static.server()基於django開發服務器。根據django書,「它沒有經過任何類型的安全審計」
它不是爲生產目的而設計的,它也沒有爲此測試過。使用未經測試的網絡服務器是不安全的。
相關問題
- 1. 爲什麼Django使用django.views.static.serve緩存我的靜態?
- 2. 爲什麼有些隨機()函數被認爲「不安全?」
- 3. 這爲什麼不安全?
- 4. 爲什麼Generics.Collections.TObjectList.List不安全?
- 5. __caller__爲什麼不安全?
- 6. 爲什麼「strcat」被視爲「不安全」?
- 7. 爲什麼我的安全iframe被報告爲不安全?
- 8. 爲什麼全局函數爲null?
- 9. 爲什麼我的cookie不安全?
- 10. 爲什麼內聯JS塊不安全?
- 11. 爲什麼MAVLink協議不安全?
- 12. 爲什麼在JavaScript中eval不安全?
- 13. 爲什麼會話ID cookie不安全
- 14. 爲什麼C#中的ArrayList不安全?
- 15. SimpleDateFormat - 不安全,但爲什麼?
- 16. 爲什麼CopyOnWriteArrayList安全?
- 17. vsnprintf爲什麼安全?
- 18. 爲什麼同步安全的整數?
- 19. 爲什麼肥皂是安全的?爲什麼不使用HTTPS?
- 20. 爲什麼「example.it」安全並且「www.example.it」不安全?
- 21. 爲什麼std :: queue :: empty()不是線程安全的?不應該const函數是線程安全的?
- 22. 安全作爲函數名
- 23. 爲什麼全局函數在角1.3
- 24. 爲什麼SuspendThread(或者像這樣的任何函數)不安全?
- 25. 爲什麼允許從函數內返回不安全的指針?
- 26. 找不到頁面django.views.static.serve
- 27. 爲什麼認爲加密更安全?
- 28. 爲什麼數據庫鏈接對安全性不好
- 29. 爲什麼我的數組中的值不安全?
- 30. 是什麼讓不安全的腳本「不安全」?