标签: python django
就安全性而言,如果他知道SECRET_KEY,攻击者可以做些什么?有没有迫在眉睫的危险?
答案 0 :(得分:3)
好吧,来自manual:
使用已知的SECRET_KEY运行Django会破坏Django的许多安全保护,并可能导致权限升级和远程执行代码漏洞。
我不确定它是如何做这些事情的(即确切地说如何使用密钥)。最有可能的是它可能导致身份验证问题。如果Django实际上使用它以某种方式提供https传输,那么任何能够嗅探流量的人都可以解密流量。