Промежуточное ПО ¶

Строгая безопасность транспорта HTTP (HSTS) ¶

Для сайтов, доступ к которым должен быть возможен только через HTTPS, вы можете указать современным браузерам запрещать подключения к вашему доменному имени, если подключение небезопасно (в течение определенного периода времени), установив вход Заведующий "Строго-Транспорт-Безопасность" . Это снижает подверженность определенным атакам типа "злоумышленник посередине" (MITM) путем перехвата SSL.

SecurityMiddleware устанавливает этот заголовок для всех ответов HTTPS, если вы установите SECURE_HSTS_SECONDS ненулевое целочисленное значение.

При включении HSTS рекомендуется сначала использовать низкое значение для тестирования, например, в течение одного часа. Каждый раз, когда веб-браузер читает заголовок HSTS для вашего сайта, он отказывается небезопасно связываться (через HTTP) с вашим доменом в течение указанного периода времени. После того, как вы получите подтверждение, что все ресурсы вашего сайта обслуживаются безопасным способом (т.е. HSTS вообще ничего не ломает), можно и желательно увеличить это значение, чтобы случайные посетители защищенный (обычно 31 536 000 секунд, то есть 1 год).SECURE_HSTS_SECONDS = 3600

Кроме того , если вы установите параметр SECURE_HSTS_INCLUDE_SUBDOMAINS в True , SecurityMiddleware добавляет директиву includeSubDomains к заголовку Strict-Transport-Security . Это рекомендуется (если все поддомены обслуживаются исключительно по HTTPS), в противном случае ваш сайт может оставаться уязвимым из-за небезопасного подключения к поддомену.

Если вы хотите добавить свой сайт в список предварительной загрузки браузера , установите для параметра SECURE_HSTS_PRELOAD значение True . Это добавляет директиву preload в заголовок Strict-Transport-Security .

Реферальная политика ¶

Браузеры используют заголовок Referer как способ отправки информации о том, откуда пользователи. При нажатии на ссылку браузер отправляет полный URL-адрес страницы, содержащей ссылку, в качестве реферера. Хотя это может быть полезно в некоторых случаях, например, при знании того, кто ссылается на ваш сайт, это действительно создает проблемы конфиденциальности, уведомляя сайт о том, что пользователь только что посетил другой сайт.

Некоторые браузеры имеют возможность принимать подсказки относительно того, следует ли включать HTTP-заголовок, Referer когда кто-то щелкает ссылку; эта подсказка передается через заголовок Referrer-Policy . Этот заголовок может предложить браузерам три различных варианта поведения:

• Полный URL: отправьте полный URL в заголовке Referer . Например, если кто-то посетит https://example.com/page.html , заголовок Referer будет содержать "https://example.com/page.html" .
• Только источник: отправьте рефереру только источник. Источник состоит из протокола, хоста и номера порта (необязательно). Например, если кто-то посещает https://example.com/page.html , происхождение будет https://example.com/ .
• Нет реферера: заголовок Referer не будет отправлен вообще.

Этот заголовок может сигнализировать браузеру о двух типах условий:

• Одно и то же происхождение против перекрестного происхождения: связь https://example.com/1.html червей https://example.com/2.html имеет одно и то же происхождение. Связь https://example.com/page.html червя https://not.example.com/page.html имеет перекрестное происхождение.
• Переход на более раннюю версию протокола: переход на более раннюю версию происходит, если страница, содержащая ссылку, обслуживается по HTTPS, а целевая страница не обслуживается по HTTPS.

SecurityMiddleware может установить Referrer-Policy заголовок для вас в зависимости от SECURE_REFERRER_POLICY настройки (обратите внимание на орфографию: браузеры отправляют Referer заголовок, когда пользователь нажимает ссылку, но заголовок, указывающий браузеру, делать ли это, пишется по буквам Referrer-Policy ). Допустимые значения для этого параметра:

no-referrer

Указывает браузеру не отправлять реферер для ссылок, которые нажимаются на этом сайте.

no-referrer-when-downgrade

Указывает браузеру отправить полный URL-адрес в качестве источника перехода, но только если не происходит понижение версии протокола.

origin

Указывает браузеру отправлять в качестве реферера только источник, а не полный URL.

origin-when-cross-origin

Указывает браузеру отправлять полный URL-адрес в качестве реферера для ссылок с одинаковым происхождением, но только источник для ссылок с перекрестным происхождением.

same-origin

Указывает браузеру отправить полный URL-адрес, но только для ссылок одного и того же происхождения. Реферер не отправляется для ссылок из разных источников.

strict-origin

Указывает браузеру отправлять в качестве реферера только источник, а не полный URL, и не отправлять реферер при переходе на более раннюю версию протокола.

strict-origin-when-cross-origin

Указывает браузеру отправить полный URL-адрес, если ссылка имеет то же происхождение и не происходит понижение версии протокола; отправляйте только источник, если ссылка является перекрестным источником, и ничего не отправлять, если происходит понижение версии протокола.

unsafe-url

Указывает браузеру всегда отправлять полный URL-адрес в качестве реферера.

X-Content-Type-Options: nosniff ¶

Некоторые браузеры пытаются угадать типы содержимого ресурсов, которые они вызывают, независимо от заголовка Content-Type . Хотя это может помочь отображать сайты с неправильно настроенными серверами, это также может представлять угрозу безопасности.

Если ваш сайт обслуживает файлы, загруженные пользователями, злоумышленник может загрузить специально написанный файл, который будет интерпретирован браузером как HTML или JavaScript, если вы ожидаете, что его содержимое будет безвредным.

Чтобы браузер не угадывал тип содержимого и заставлял его всегда использовать тип, указанный в заголовке Content-Type , вы можете установить заголовок X-Content-Type-Options: nosniff . SecurityMiddleware делает это для всех ответов, если для параметра SECURE_CONTENT_TYPE_NOSNIFF установлено значение True .

Обратите внимание, что в большинстве ситуаций развертывания, когда Django не участвует в обслуживании файлов, отправленных пользователями, эта настройка не поможет. Например, если содержимое MEDIA_URL напрямую обслуживается интерфейсным веб-сервером (nginx, Apache и т. Д.), Заголовок должен быть установлен последним. С другой стороны, если вы используете Django, чтобы позаботиться о таких вещах, как требование разрешения, прежде чем вы сможете загружать файлы, и вы не можете установить этот заголовок на веб-сервере, этот параметр будет полезно.

X-XSS-Protection: 1; mode=block ¶

Некоторые браузеры имеют возможность блокировать контент, похожий на XSS-атаку . Они делают это, исследуя содержимое JavaScript в параметрах GET или POST страниц. Если в ответе сервера воспроизводится JavaScript, отображение страницы блокируется и вместо него отображается страница с ошибкой.

Заголовка X-XSS-Protection используется для управления работой фильтра XSS.

Чтобы включить фильтр XSS в браузере и заставить его всегда блокировать подозреваемые атаки XSS, вы можете установить заголовок . делает это для всех ответов, если для параметра установлено значение .X-XSS-Protection: 1; mode=block SecurityMiddleware SECURE_BROWSER_XSS_FILTER True

Перенаправление SSL ¶

Если ваш сайт предлагает как HTTP, так и HTTPS-соединения, большинство пользователей по умолчанию получит небезопасное соединение. Для большей безопасности вам следует перенаправить все HTTP-соединения на HTTPS.

Если вы установите для параметра SECURE_SSL_REDIRECT значение True , SecurityMiddleware будет постоянно перенаправлять (HTTP 301) все HTTP-соединения на HTTPS.

Если параметр SECURE_SSL_HOST имеет значение, все перенаправления будут отправляться на этот хост вместо запрашивающего хоста.

Если определенные страницы вашего сайта должны оставаться доступными через HTTP без перенаправления на HTTPS, вы можете добавить регулярные выражения, соответствующие этим URL-адресам, в настройках SECURE_REDIRECT_EXEMPT (в виде списка).