Django possède d'excellentes fonctionnalités de sécurité, mais il est essentiel que vous les compreniez, ainsi que ce qu'elles font, pour que vos applications soient vraiment sécurisées.

Django fournit une base sécurisée pour la création d'applications Web. Mais s'appuyer sur les fonctionnalités de sécurité par défaut de Django ne suffit pas. Il est crucial pour vous de mettre en place des mesures supplémentaires pour renforcer la sécurité de vos applications.

En mettant en œuvre des mesures supplémentaires, vous pouvez atténuer les vulnérabilités potentielles, protéger les données sensibles et protéger votre application contre les cybermenaces. Cela garantit la protection des informations de vos utilisateurs et aide à maintenir la réputation et la fiabilité de votre organisation.

Sécuriser les vues avec les décorateurs

Les vues dans Django gèrent les requêtes entrantes. Ils jouent un rôle essentiel dans la détermination de la réponse que le client obtient. La sécurisation des vues contrôle les accès et protège les fonctionnalités sensibles. Django propose des décorateurs que vous pouvez appliquer aux vues pour appliquer des mesures de sécurité spécifiques.

instagram viewer

@login_required Décorateur

Le @Connexion requise Le décorateur garantit que seuls les utilisateurs authentifiés peuvent accéder à une vue particulière. Lorsqu'un utilisateur non authentifié tente d'accéder à la vue, l'application le redirige vers la page de connexion.

depuis django.contrib.auth.decorators importer Connexion requise
depuis django.http importer HttpResponse
@Connexion requise
définitivementvue_sécurisée(demande):
# Votre logique de vue ici
retour Réponse HTTP("Ceci est une vue sécurisée")

Appliquer le @Connexion requise Le décorateur de la fonction secure_view garantit automatiquement que l'utilisateur est authentifié avant d'exécuter la logique de la vue.

Décorateurs personnalisés

Django vous permet de créer des décorateurs personnalisés. Cela vous permet d'implémenter des contrôles ou des restrictions de sécurité supplémentaires. Par exemple, vous pouvez créer un décorateur qui restreint l'accès à des rôles d'utilisateur spécifiques.

depuis outils de fonction importer enveloppe
depuis django.http importer HttpResponse
définitivementadmin_only(vue_fonc):
 @wraps (view_func)
définitivementemballage(demande, *args, **kwargs):
si request.user.is_superuser :
retour view_func (demande, *args, **kwargs)
autre:
retour Réponse HTTP("Accès refusé")
retour emballage

Le admin_only Le décorateur vérifie si l'utilisateur accédant à la vue est un superutilisateur. Si tel est le cas, la fonction d'affichage s'exécute, sinon elle refuse l'accès à l'utilisateur.

Authentification et autorisation de l'utilisateur

L'authentification et l'autorisation des utilisateurs sont des composants essentiels de la sécurisation des applications Django. Ils garantissent que la bonne personne accède aux fonctionnalités spécifiques de l'application.

Authentification d'utilisateur

L'authentification de l'utilisateur vérifie l'identité de la personne accédant à votre application. Le système d'authentification de Django fournit des fonctionnalités pour gérer cela.

depuis django.contrib.auth importer authentifier, se connecter
depuis django.http importer HttpResponse
définitivementlogin_view(demande):
si demande.méthode == 'POSTE':
 nom d'utilisateur = demande. POSTER['nom d'utilisateur']
 mot de passe = demande. POSTER['mot de passe']
 utilisateur = authentifier (demande, nom d'utilisateur=nom d'utilisateur, mot de passe=mot de passe)
si utilisateur estpasAucun:
 login (requête, utilisateur)
retour Réponse HTTP("Connexion réussie")
autre:
retour Réponse HTTP("Les informations d'identification invalides")
autre:
# Rendre le formulaire de connexion
retour Réponse HTTP("Formulaire de connexion")

Le login_view La fonction gère le processus de connexion. Lorsqu'un utilisateur soumet ses informations d'identification, la fonction d'authentification les vérifie. Si les informations d'identification sont valides, la fonction de connexion crée une session pour l'utilisateur, lui permettant d'accéder à des zones restreintes de l'application. Si les informations d'identification sont erronées, le code ne crée pas de session.

Autorisation de l'utilisateur

L'autorisation de l'utilisateur détermine les actions qu'un utilisateur peut effectuer dans l'application. Django fournit un système d'autorisation flexible qui vous permet de contrôler l'accès des utilisateurs.

depuis django.contrib.auth.decorators importer permission_required
depuis django.http importer HttpResponse
@permission_required('sondages.can_vote')
définitivementvote(demande):
# Logique de vote ici
retour Réponse HTTP("Votation enregistrée")

Dans l'exemple ci-dessus, le @permission_required le décorateur garantit que seuls les utilisateurs disposant du polls.can_vote autorisation peut accéder à la vue de vote. Si un utilisateur sans l'autorisation nécessaire tente d'accéder à la vue, l'accès lui est refusé.

Implémentation d'un middleware personnalisé

Le middleware se situe entre le serveur Web et la vue. La mise en œuvre d'intergiciels personnalisés ajoute des contrôles de sécurité supplémentaires ou modifie les demandes et les réponses. Cela peut être dû à des raisons telles que l'application de HTTPS.

depuis django.http importer HttpResponsePermanentRedirect
classeAppliquerHttpsMiddleware:
définitivement__init__(soi, get_response):
 self.get_response = get_response


définitivement__appel__(soi-même, demande):
sipas request.is_secure() :
 url = request.build_absolute_uri (request.get_full_path())
 secure_url = url.replace(' http://', ' https://')
retour HttpResponsePermanentRedirect (secure_url)
retour self.get_response (demande)

Le middleware ci-dessus vérifie si la requête utilise le est_sécurisé méthode. Sinon, il redirige vers le Version HTTPS de l'URL.

Sécurisation de la gestion des fichiers

La gestion des fichiers est une fonctionnalité courante dans les applications Web. Il pose des risques de sécurité s'il n'est pas correctement sécurisé. Lors de la gestion des fichiers téléchargés par l'utilisateur, il est important de valider le contenu du fichier. Cela empêche les téléchargements malveillants. Vous pouvez valider les types de fichiers à l'aide de FileExtensionValidator de Django.

depuis django.core.validators importer FileExtensionValidatorFileExtensionValidator
depuis django.forms importer formes
classeFichierTéléchargerFormulaire(formes. Former):
 fichier = formulaires. FileField (validators=[FileExtensionValidator (allowed_extensions=['pdf', 'docx'])])

Dans le bloc de code ci-dessus, le FichierTéléchargerFormulaire classe utilise le FileExtensionValidatorFileExtensionValidator pour autoriser uniquement les téléchargements de fichiers PDF et DOCX. L'application rejettera tout autre format de fichier lors du téléchargement. Personnalisez les extensions autorisées en fonction des exigences de votre application.

Protection CSRF

Vous pouvez empêcher les attaques Cross-Site Request Forgery (CSRF) en utilisant la protection CSRF intégrée de Django. Vous devez inclure dans votre modèle un Jeton CSRF qui validera côté serveur.

"poste" action="/soumettre le formulaire/">
 {% csrf_token %}
 Champs de formulaire

Lorsque vous utilisez le % csrf_token % balise template, Django génère un champ de saisie caché avec le jeton CSRF. Ce jeton est unique pour chaque session utilisateur. Il permet de valider l'authenticité du formulaire soumis.

Le côté serveur vérifie le jeton CSRF lors du traitement de la soumission du formulaire. Si le jeton est manquant ou invalide, Django génère une erreur Interdit (HTTP 403). Il est essentiel de s'assurer que votre application est à l'abri de ce type de faille de sécurité.

Rédaction de formulaires sécurisés

Lors de la création de formulaires, il est important de gérer les entrées utilisateur en toute sécurité. Cela permet d'éviter les vulnérabilités courantes telles que l'injection SQL et les attaques XSS. Vous trouverez ci-dessous un exemple qui montre comment vous pouvez créer un formulaire sécurisé dans Django.

depuis Django importer formes
depuis django.utils.html importer s'échapper
classeSecureForm(formes. Former):
 nom = formes. CharField (max_length=100)
 e-mail = formulaires. ChampEmail()


définitivementnom_propre(soi):
 nom = self.cleaned_data['nom']


# Assainir l'entrée de l'utilisateur
 nom_sanitaire = échappement (nom)
retour nom_assaini


définitivementnettoyer_email(soi):
 e-mail = self.cleaned_data['e-mail']


# Valider et nettoyer l'entrée de l'utilisateur
sipas email.endswith('@exemple.com'):
augmenter formes. Erreur de validation("Domaine de messagerie invalide")
 sanitized_email = échappement (e-mail)
retour email_sanitaire

Le nom_propre et nettoyer_email valident et assainissent l'entrée de l'utilisateur. Le nom_propre méthode utilise la s'échapper fonction pour nettoyer la saisie du nom et empêcher attaques XSS potentielles.

Le nettoyer_email valide le format de l'e-mail et limite le domaine de l'e-mail à exemple.com. Il soulève un Erreur de validation si l'e-mail ne répond pas aux critères spécifiés. Cette action améliore la sécurité de vos formulaires et les protège contre les vulnérabilités courantes.

Comprendre les vulnérabilités des applications Web est important

Comprendre les vulnérabilités des applications Web vous aidera à sécuriser votre application. Il le fera en vous aidant à identifier et à résoudre les points faibles potentiels de l'application. Cela réduira à son tour considérablement la probabilité d'attaques réussies.