7
的official docs說staticfiles的,serve觀點:通過Django提供靜態文件的安全問題?
...這種觀點是非常低效的,可能不安全
該警告僅適用於這個特定的觀點,還是有安全問題通過Django提供靜態文件的概念所固有的?他們是什麼?假設我已經對我的應用程序進行了基準測試並且性能是可以接受的,那麼是否還有其他問題需要注意?
A
回答
8
,因爲它不必是安全
通過Django的靜態文件服務這是不安全意味着你經過Python代碼做一些你的服務器會顯著更有效地做。
鑑於服務靜態文件在性能方面是災難性的,所以沒有人會在生產中使用該文件。
因此,沒有人關心在Django中服務靜態文件的安全性。
因此,這種觀點是可能不安全。
最終,它與開發服務器的基本原理相同。你不是假設將在生產中使用它,而不是一個人致力於使其安全。這對於開發來說很實用。
此外,效率低下的事情會使您暴露於DoS攻擊。所以是的,這是不安全的。
但是你不應該使用它。
你爲什麼通過Django提供靜態文件?它是否控制對這些文件的訪問?
如果是,則應使用X-Accel-Redirect(Nginx)或(Apache)標頭。
但是不要自己動手,請使用:https://github.com/johnsensible/django-sendfile
相關問題
- 1. django:通過nginx提供靜態文件
- 2. Django,提供靜態文件
- 3. Django提供靜態文件
- 4. 如何在windows中通過nginx和django提供靜態文件
- 5. 如何通過HTTPS提供Django靜態文件?
- 6. 從提供pip安裝包中提供靜態文件的問題
- 7. 無法提供靜態文件,Django 1.6
- 8. django用nginx提供靜態文件
- 9. Django和提供靜態文件
- 10. Apache不會提供Django靜態文件
- 11. Django升級:不提供靜態文件
- 12. 在OpenShift中提供Django靜態文件
- 13. Django未提供靜態文件
- 14. Django和Apache不提供靜態文件
- 15. 用Django提供靜態文件
- 16. NGINX爲Django App提供靜態文件
- 17. Nginx沒有提供Django靜態文件
- 18. 在Heroku上提供Django靜態文件
- 19. Django + nginx提供私人靜態文件
- 20. Django 1.7 - 提供靜態文件
- 21. 通過靜態文件提供動態內容
- 22. NGINX提供靜態文件
- 23. Sinatra提供靜態文件
- 24. Django提供靜態文件 - Django-Storages的正確URL設置
- 25. Django爲不同的文件夾提供靜態文件
- 26. 問題的CherryPy 3.1提供靜態文件
- 27. 關於從Servlet中提供靜態文件的問題
- 28. 爲MongoDB提供安全性的問題
- 29. 沒有通過Apache爲Django應用程序提供靜態文件
- 30. 通過flatironjs提供靜態資產