Django 针对常见 Web 漏洞(OWASP Top 10)提供了强大的内置保护 — 安全是核心设计优先级,许多保护默认启用。理解这些保护对于构建安全的应用程序和避免意外禁用这些保护措施至关重要。
# ✅ the ORM uses PARAMETERIZED queries automatically — safe by default
User.objects.filter(username=user_input) # input is never executable SQL
# ⚠️ raw SQL CAN be vulnerable — always parameterize:
User.objects.raw(, [user_input])
ORM 对所有查询进行参数化,默认防止 SQL 注入 — 一类重大漏洞被消除,除非你编写不安全的原始 SQL。
{{ user_input }} <!-- AUTO-ESCAPED: <script> → <script> → safe -->
{{ trusted|safe }} <!-- opt out ONLY for content you fully trust -->
Django 模板默认对变量输出进行自动转义,中和注入的 HTML/脚本 — 内置 XSS 保护。
<form method="post">
{% csrf_token %} <!-- REQUIRED — Django validates this token on POST -->
...
</form>
CSRF 中间件在状态更改请求(POST/PUT/DELETE)上需要令牌,阻止来自其他站点的伪造请求。
# XFrameOptionsMiddleware (default) sends X-Frame-Options: DENY
# → prevents your site from being embedded in a malicious <iframe>
# passwords are HASHED with strong algorithms (PBKDF2 by default), never plaintext
user.set_password(raw_password) # hashes automatically
# + password validators enforce strength (length, common-password checks)
# settings.py — enable these in production
SECURE_SSL_REDIRECT = True # force HTTPS
SESSION_COOKIE_SECURE = True # cookies only over HTTPS
CSRF_COOKIE_SECURE = True
SECURE_HSTS_SECONDS = 31536000 # HSTS — enforce HTTPS
SECURE_CONTENT_TYPE_NOSNIFF = True
⚠️ DEBUG = False in production — DEBUG=True leaks tracebacks, settings, source paths
⚠️ Keep SECRET_KEY secret (env vars, not code) — it signs sessions/tokens
⚠️ Set ALLOWED_HOSTS to prevent Host-header attacks
⚠️ Don't use |safe or mark_safe on untrusted input (reopens XSS)
⚠️ Always validate/sanitize input; use Django forms/serializers
⚠️ Run `python manage.py check --deploy` to audit production security settings
安全对任何 Web 应用程序都至关重要,理解 Django 的内置保护对于利用它们和避免意外削弱它们至关重要 — Django 强大的安全默认值是它在严肃应用程序中受信任的主要原因,但只有当你理解并尊重它们时,它们才能保护你。
Django 默认解决最常见和最危险的 Web 漏洞:ORM 通过参数化查询防止 SQL 注入,模板自动转义防止 XSS,CSRF 中间件防止跨站请求伪造,点击劫持保护内置,密码安全哈希 — 消除了整个漏洞类别,在安全关注度较低的框架中,开发人员必须手动处理这些漏洞(并且经常出错)。
理解这些保护很重要,这样你就知道它们的存在,正确配置它们(特别是 HTTPS、安全 Cookie 和 HSTS 的生产安全设置),以及 — 至关重要的是 — 不要意外禁用它们:最常见的 Django 安全故障来自削弱默认值,例如在生产中保留 DEBUG=True(向攻击者泄露敏感的回溯和设置)、提交 SECRET_KEY、在不受信任的输入上使用 |safe/mark_safe(重新打开 XSS)、编写未参数化的原始 SQL(重新打开注入),或错误配置 ALLOWED_HOSTS。
知道 Django 提供的保护、如何配置安全的生产设置,以及不削弱默认值的责任(加上使用 check --deploy 进行审计)是构建安全应用程序的基础。
因为 Web 应用程序是持续的攻击目标,安全故障可能是灾难性的(数据泄露、账户被攻击),理解 Django 的安全模型 — 既包括它自动保护的内容,也包括你维护这些保护的责任 — 是必需的、高风险的知识,体现了专业、安全意识的开发,是任何生产应用程序的频繁出现、重要的主题。