原文地址](https://segmentfault.com/a/1190000003756582)
這個配置是在使用Django自帶的密碼加密函數的時候會使用的加密算法的列表.默認如下:
PASSWORD_HASHERS = ( 'django.contrib.auth.hashers.PBKDF2PasswordHasher', 'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher', 'django.contrib.auth.hashers.BCryptSHA256PasswordHasher', 'django.contrib.auth.hashers.BCryptPasswordHasher', 'django.contrib.auth.hashers.SHA1PasswordHasher', 'django.contrib.auth.hashers.md5PasswordHasher', 'django.contrib.auth.hashers.CryptPasswordHasher',)默認使用第一個條目的加密算法,即PBKDF2算法. 所以在使用make_password,check_password,is_password_unable等密碼加解密函數的時候,需要添加這個list在setting.py文件中,推薦使用默認配置的算法.
相關鏈接: https://docs.djangoPRoject.com/en/1.8/ref/settings/#password-hashers https://docs.djangoproject.com/en/1.8/topics/auth/passwords/
ADMINS是一個二元元組,記錄開發人員的姓名和email,當DEBUG為False而views發生異常的時候發email通知這些開發人員.類如:((‘John’, ‘john@example.com’), (‘Mary’, ‘mary@example.com’))
相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#admins
ALLOWED_HOSTS是為了限定請求中的host值,以防止黑客構造包來發送請求.只有在列表中的host才能訪問.強烈建議不要使用*通配符去配置,另外當DEBUG設置為False的時候必須配置這個配置.否則會拋出異常.配置模板如下:
ALLOWED_HOSTS = [ '.example.com', # Allow domain and subdomains '.example.com.', # Also allow FQDN and subdomains]相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#allowed-hosts
DEBUG配置為True的時候會暴露出一些出錯信息或者配置信息以方便調試.但是在上線的時候應該將其關掉,防止配置信息或者敏感出錯信息泄露. DEBUG = False 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-DEBUG
INSTALLED_APPS是一個一元數組.里面是應用中要加載的自帶或者自己定制的app包路徑列表.
INSTALLED_APPS = [ 'anthology.apps.GypsyJazzConfig', # ...]相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#installed-apps https://docs.djangoproject.com/en/1.8/ref/applications/
和ADMINS類似,并且結構一樣,當出現’broken link’的時候給manager發郵件. 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MANAGERS
web應用中需要加載的一些中間件列表.是一個一元數組.里面是django自帶的或者定制的中間件包路徑,如下:
MIDDLEWARE_CLASSES = ( 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.auth.middleware.SessionAuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', 'django.middleware.security.SecurityMiddleware',)相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-MIDDLEWARE_CLASSES https://docs.djangoproject.com/en/1.8/topics/http/middleware/
同樣是一個DEBUG開關,若為True,DEBUG信息在觸發異常之后,會顯示在網頁上.上線之前必須修改成: TEMPLATE_DEBUG = False 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#std:setting-TEMPLATE_DEBUG
DEBUG = False 防止配置信息和調試信息暴露
SESSION_COOKIE_SECURE = True 使得session cookie被標記上secure標記,從而只能傳輸在HTTPS下 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/settings/#session-cookie-secure
SESSION_COOKIE_HTTPONLY = True 使得session cookie被標記上http only標記,從而只能被http協議讀取,不能被javascript讀取
TEMPLATE_DEBUG = False 防止配置信息和debug信息通過view傳出.
配置作用:在應用中使用session 配置方法: 在MIDDLEWARE_CLASSES中加入: django.contrib.sessions.middleware.SessionMiddleware 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/middleware/ https://docs.djangoproject.com/en/1.8/topics/http/sessions/
配置作用:在應用中添加CSRF token用來防范csrf攻擊 配置方法: 在MIDDLEWARE_CLASSES中加入: django.contrib.sessions.middleware.CsrfViewMiddleware 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/middleware/ https://docs.djangoproject.com/en/1.8/ref/csrf/
配置作用: 在Http header中添加 X-Frame-Options 標志.防范Clickjacking 配置方法: 在MIDDLEWARE_CLASSES中加入: django.middleware.clickjacking.XFrameOptionsMiddleware 相關鏈接: https://docs.djangoproject.com/en/1.8/ref/clickjacking/
作用:過濾html字符串,返回合法的已經過濾的安全html字符串. 官方鏈接:https://bitbucket.org/ionata/django-bleach 文檔:https://django-bleach.readthedocs.org/en/latest/
作用:防范ClickJacking,作用和官方的XFrameOptionsMiddleware相似 官方鏈接:https://github.com/paulosman/django-xframeoptions
新聞熱點
疑難解答
