Django pruža snažnu ugrađenu zaštitu od čestih web ranjivosti (OWASP Top 10) — sigurnost je prioritet u dizajnu, a mnoga su zaštita omogućena po zadanoj vrijednosti. Razumijevanje njih je bitno za izgradnju sigurnih aplikacija i kako ne slučajno deaktivirati ove zaštitne mehanizme.
User.objects.(username=user_input)
User.objects.raw(, [user_input])
ORM parameterizira sve upite, sprječavajući SQL injection po zadanoj vrijednosti — glavna klasa ranjivosti je eliminirana osim ako napišete nesiguran raw SQL.
{{ user_input }} <!-- AUTO-ESCAPED: <script> → <script> → safe -->
{{ trusted|safe }} <!-- opt out ONLY for content you fully trust -->
Django šablone auto-escape varijable po zadanoj vrijednosti, neutralizirajući injektirani HTML/skripte — ugrađena XSS zaštita.
<form method="post">
{% csrf_token %} <!-- REQUIRED — Django validates this token on POST -->
...
</form>
CSRF middleware zahtijeva token na zahtjevima koji mijenjaju stanje (POST/PUT/DELETE), blokirajući falsificirane zahtjeve s drugih stranica.
# XFrameOptionsMiddleware (default) sends X-Frame-Options: DENY
# → prevents your site from being embedded in a malicious <iframe>
# passwords are HASHED with strong algorithms (PBKDF2 by default), never plaintext
user.set_password(raw_password) # hashes automatically
# + password validators enforce strength (length, common-password checks)
# settings.py — enable these in production
SECURE_SSL_REDIRECT = True # force HTTPS
SESSION_COOKIE_SECURE = True # cookies only over HTTPS
CSRF_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000 # HSTS — enforce HTTPS
SECURE_CONTENT_TYPE_NOSNIFF = True
⚠️ DEBUG = False in production — DEBUG=True leaks tracebacks, settings, source paths
⚠️ Keep SECRET_KEY secret (env vars, not code) — it signs sessions/tokens
⚠️ Set ALLOWED_HOSTS to prevent Host-header attacks
⚠️ Don't use |safe or mark_safe on untrusted input (reopens XSS)
⚠️ Always validate/sanitize input; use Django forms/serializers
⚠️ Run `python manage.py check --deploy` to audit production security settings
Sigurnost je kritična za bilo koju web aplikaciju, a razumijevanje Django-jeve ugrađene zaštite je bitno i za njihovu primjenu i za to da je slučajno ne podrivirate — Django-jeve snažne sigurnosne zadane vrijednosti su jedan od glavnih razloga zašto se koristi za ozbiljne aplikacije, ali vas štite samo ako ih razumijete i poštujete.
Django se bavi po zadanoj vrijednosti najčešćim i najopasnijim web ranjivostima: ORM sprječava SQL injection putem parameteriziranih upita, auto-escaping u šablonama sprječava XSS, CSRF middleware sprječava cross-site request forgery, zaštita od clickjackinga je ugrađena, a lozinke su sigurno heširane — eliminirajući čitave kategorije ranjivosti koje razvojni inženjeri trebaju rukovati ručno (i često pogrešno) u frameworkima koji manje vode računa o sigurnosti.
Razumijevanje ovih zaštita je važno da znate da postoje, da ih ispravno konfiguriramo (posebno production sigurnosne postavke za HTTPS, sigurne kolačiće i HSTS), i — kritično — slučajno ih ne deaktiviraš: najčešće Django sigurnosne greške dolaze od podrivanja zadanih vrijednosti, kao što je ostavljanje DEBUG=True u productionu (curenja osjetljive tragove i postavke napadačima), komitovanje SECRET_KEY-a, korištenje |safe/mark_safe na nepouzdanom inputu (ponovno otvaranje XSS-a), pisanje ne-parameteriziranog raw SQL-a (ponovno otvaranje injection-a), ili pogrešna konfiguracija ALLOWED_HOSTS-a.
Znati zaštitu koju Django pruža, kako konfigurirati sigurne production postavke, i odgovornost da ne oslabite zadane vrijednosti (plus korištenje check --deploy za audit) je temeljno za izgradnju sigurnih aplikacija.
Zato što su web aplikacije stalni cilj napada a sigurnosni propusti mogu biti katastrofalni (krađa podataka, kompromisija računa), razumijevanje Django-jevog sigurnosnog modela — i što automatski štiti i vašu odgovornost da održavate te zaštite — je bitno, važno znanje koje pokazuje stručnu, sigurnosno-svjesnu razvoju i čest je, važan tema za bilo koju production aplikaciju.