Django ਆਮ ਵੈਬ ਕਮਜ਼ੋਰੀਆਂ (OWASP ਟਾਪ 10) ਦੇ ਵਿਰੁੱਧ ਮਜ਼ਬੂਤ ਬਿਲਤ-ਇਨ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ — ਸੁਰੱਖਿਆ ਇੱਕ ਮੁੱਖ ਡਿਜ਼ਾਈਨ ਤਰਜੀਹ ਹੈ, ਅਤੇ ਬਹੁਤ ਸਾਰੀਆਂ ਸੁਰੱਖਿਆਵਾਂ ਡਿਫ਼ਾਲਟ ਦੁਆਰਾ ਸਮਰੱਥ ਹਨ। ਇਹਨਾਂ ਨੂੰ ਸਮਝਣਾ ਸੁਰੱਖਿਅਤ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣ ਅਤੇ ਗਲਤੀ ਨਾਲ ਇਹਨਾਂ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਅਸਮਰੱਥ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ ਹੈ।
User.objects.(username=user_input)
User.objects.raw(, [user_input])
ORM ਸਾਰੀਆਂ ਪੁੱਛ-ਗਿੱਛਾ ਨੂੰ ਪੈਰਾਮਿਟਰਾਈਜ਼ ਕਰਦਾ ਹੈ, SQL injection ਨੂੰ ਡਿਫ਼ਾਲਟ ਦੁਆਰਾ ਰੋਕਦਾ ਹੈ — ਇੱਕ ਬਹੁਤ ਵੱਡਾ ਕਮਜ਼ੋਰੀ ਦਾ ਵਰਗ ਜਦ ਤੱਕ ਤੁਸੀਂ ਅਸੁਰੱਖਿਅਤ ਕੱਚੀ SQL ਨਹੀਂ ਲਿਖਦੇ।
{{ user_input }} <!-- AUTO-ESCAPED: <script> → <script> → safe -->
{{ trusted|safe }} <!-- opt out ONLY for content you fully trust -->
Django ਟੈਂਪਲੇਟ ਆਟੋ-ਐਸਕੇਪ ਵੇਰੀਏਬਲ ਆਉਟਪੁੱਟ ਡਿਫ਼ਾਲਟ ਦੁਆਰਾ, ਇਨਜੈਕਟ ਕੀਤੇ HTML/ਸਕ੍ਰਿਪਟ ਨੂੰ ਨਿਰਪੱੱਖ ਕਰਦਾ ਹੈ — ਬਿਲਤ-ਇਨ XSS ਸੁਰੱਖਿਆ।
<form method="post">
{% csrf_token %} <!-- REQUIRED — Django validates this token on POST -->
...
</form>
CSRF ਮਿਡਲਵੇਅਰ ਸਥਿਤੀ-ਬਦਲਣ ਵਾਲੀਆਂ ਪੁੱਛ-ਗਿੱਛਾ (POST/PUT/DELETE) ਤੇ ਇੱਕ ਟੋਕਨ ਦੀ ਲੋੜ ਹੈ, ਦੂਸਰੀਆਂ ਸਾਈਟਾਂ ਤੋਂ ਜਾਲੀ ਪੁੱਛ-ਗਿੱਛਾ ਨੂੰ ਰੋਕਦਾ ਹੈ।
# XFrameOptionsMiddleware (default) sends X-Frame-Options: DENY
# → prevents your site from being embedded in a malicious <iframe>
# passwords are HASHED with strong algorithms (PBKDF2 by default), never plaintext
user.set_password(raw_password) # hashes automatically
# + password validators enforce strength (length, common-password checks)
# settings.py — enable these in production
SECURE_SSL_REDIRECT = True # force HTTPS
SESSION_COOKIE_SECURE = True # cookies only over HTTPS
CSRF_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000 # HSTS — enforce HTTPS
SECURE_CONTENT_TYPE_NOSNIFF = True
⚠️ DEBUG = False in production — DEBUG=True leaks tracebacks, settings, source paths
⚠️ Keep SECRET_KEY secret (env vars, not code) — it signs sessions/tokens
⚠️ Set ALLOWED_HOSTS to prevent Host-header attacks
⚠️ Don't use |safe or mark_safe on untrusted input (reopens XSS)
⚠️ Always validate/sanitize input; use Django forms/serializers
⚠️ Run `python manage.py check --deploy` to audit production security settings
ਸੁਰੱਖਿਆ ਕਿਸੇ ਵੀ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਅਤੇ Django ਦੀ ਬਿਲਤ-ਇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ ਹੈ ਦੋਵੇਂ ਇਹਨਾਂ ਨੂੰ ਲਾਭ ਪਾਉਣ ਲਈ ਅਤੇ ਗਲਤੀ ਨਾਲ ਇਹਨਾਂ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਨ ਨਾ ਕਰਨ ਲਈ — Django ਦੀ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਡਿਫ਼ਾਲਟ ਇੱਕ ਮੁੱਖ ਕਾਰਨ ਹੈ ਕਿ ਇਸ ਤੇ ਗਮਭੀਰ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਭਰੋਸਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਪਰ ਉਹ ਸਿਰਫ ਤੁਹਾਨੂੰ ਸੁਰੱਖਿਅਤ ਰੱਖਦੇ ਹਨ ਜੇ ਤੁਸੀਂ ਇਹਨਾਂ ਨੂੰ ਸਮਝਦੇ ਅਤੇ ਸਤਿਕਾਰ ਕਰਦੇ ਹੋ।
Django ਡਿਫ਼ਾਲਟ ਦੁਆਰਾ ਸਭ ਤੋਂ ਆਮ ਅਤੇ ਖ਼ਤਰਨਾਕ ਵੈਬ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਨਜਿੱਠਦਾ ਹੈ: ORM ਪੈਰਾਮਿਟਰਾਈਜ਼ ਪੁੱਛ-ਗਿੱਛਾ ਦੁਆਰਾ SQL injection ਨੂੰ ਰੋਕਦਾ ਹੈ, ਟੈਂਪਲੇਟ ਆਟੋ-ਐਸਕੇਪਿੰਗ XSS ਨੂੰ ਰੋਕਦਾ ਹੈ, CSRF ਮਿਡਲਵੇਅਰ cross-site request forgery ਨੂੰ ਰੋਕਦਾ ਹੈ, clickjacking ਸੁਰੱਖਿਆ ਬਿਲਤ-ਇਨ ਹੈ, ਅਤੇ ਪਾਸਵਰਡ ਸੁਰੱਖਿਤ ਤੌਰ ਤੇ ਹੈਸ ਕੀਤੇ ਜਾਂਦੇ ਹਨ — ਕਮਜ਼ੋਰੀਆਂ ਦੀਆਂ ਪੂਰੀ ਕੈਟਾਗਰੀ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ ਜੋ ਡਿਵੈਲਪਰਸ ਨੂੰ ਹੱਥ ਨਾਲ ਸਭਾਲਣੀ ਪਵੇ (ਅਤੇ ਅਕਸਰ ਗਲਤ ਕਰਦੇ ਹਨ) ਘੱਟ ਸੁਰੱਖਿਆ-ਕੇਂਦ੍ਰਿਤ ਫ੍ਰੇਮਵਰਕ ਵਿੱਚ।
ਇਹਨਾਂ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਤਾਂ ਜੋ ਤੁਸੀਂ ਜਾਣ ਸਕੋ ਕਿ ਉਹ ਮੌਜੂਦ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਕਨਫ਼ਿਗਰ ਕਰੋ (ਖ਼ਾਸ ਤੌਰ ਤੇ HTTPS, ਸੁਰੱਖਿਤ cookies, ਅਤੇ HSTS ਲਈ ਉਤਪਾਦਨ ਸੁਰੱਖਿਆ ਸੈਟਿੰਗ), ਅਤੇ — ਮਹੱਤਵਪੂਰਨ ਰੂਪ ਨਾਲ — ਗਲਤੀ ਨਾਲ ਉਹਨਾਂ ਨੂੰ ਅਸਮਰੱਥ ਨਾ ਕਰੋ: ਸਭ ਤੋਂ ਆਮ Django ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਡਿਫ਼ਾਲਟ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਨ ਤੋਂ ਆਉਂਦੀਆਂ ਹਨ, ਜਿਵੇਂ DEBUG=True ਉਤਪਾਦਨ ਵਿੱਚ ਛੱਡਣਾ (ਸੰਵੇਦਨਸ਼ੀਲ traces ਅਤੇ ਸੈਟਿੰਗ ਲੀਕ ਕਰਨਾ ਹਮਲਾ ਕਨਨੇ ਲਈ), SECRET_KEY commit ਕਰਨਾ, |safe/mark_safe ਨੂੰ ਭਰੋਸਾਕਾਰ ਨਹੀਂ input ਤੇ ਵਰਤਣਾ (XSS ਦੁਬਾਰਾ ਖੋਲ੍ਹਣਾ), unparameterized ਕੱਚੀ SQL ਲਿਖਣਾ (injection ਦੁਬਾਰਾ ਖੋਲ੍ਹਣਾ), ਜਾਂ ALLOWED_HOSTS ਨੂੰ ਗਲਤ ਤਰੀਕੇ ਨਾਲ ਕਨਫ਼ਿਗਰ ਕਰਨਾ।
Django ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਕਿ ਕੀ ਸੁਰੱਖਿਆ ਸਮਝਣਾ, ਉਤਪਾਦਨ ਸੈਟਿੰਗ ਨੂੰ ਸੁਰੱਖਿਤ ਤਰੀਕੇ ਨਾਲ ਕਨਫ਼ਿਗਰ ਕਰਨਾ, ਅਤੇ ਜ਼ਿੰਮੇਵਾਰੀ ਡਿਫ਼ਾਲਟ ਨੂੰ ਕਮਜ਼ੋਰ ਨਾ ਕਰਨ ਦੀ (ਜੋ ਲੇਖਾ ਕਰਨ ਲਈ check --deploy ਵਰਤਣਾ) ਜ਼ਰੂਰੀ ਹੈ ਸੁਰੱਖਿਅਤ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣ ਲਈ।
ਕਿਉਂਕਿ ਵੈਬ ਐਪਲੀਕੇਸ਼ਨ ਨਿਰੰਤਰ ਹਮਲਾ ਟਾਰਗੇਟ ਹਨ ਅਤੇ ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਵਿਨਾਸ਼ਕਾਰੀ ਹੋ ਸਕਦੀਆਂ ਹਨ (ਡੇਟਾ ਦੀ ਚੋਰੀ, ਖਾਤੇ ਦੀ ਤਬਦੀਲੀ), Django ਦੀ ਸੁਰੱਖਿਆ ਮਾਡਲ ਨੂੰ ਸਮਝਣਾ — ਇਹ ਖੁਦਕਾਰੀ ਤੌਰ ਤੇ ਕੀ ਸੁਰੱਖਿਅਤ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹ ਜ਼ਿੰਮੇਵਾਰੀ ਜੋ ਇਹਨਾਂ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਲਈ — ਲਾਜ਼ਮੀ, ਮੱਧ ਆਲੋ-ਭੁਜਾ ਜਾਣਕਾਰੀ ਜੋ ਪੇਸ਼ਾਵਰ, ਸੁਰੱਖਿਆ-ਸੁਮੇਲ ਵਿਕਾਸ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਿਤ ਕਰਦੀ ਹੈ ਅਤੇ ਕਿਸੇ ਵੀ ਉਤਪਾਦਨ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਇੱਕ ਬਾਰ-ਬਾਰ, ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ਾ ਹੈ।