我目前正在研究django中的一个Web项目,并且需要确保通过网络传输数据的安全性(密码,用户名等)。 我已经阅读了有关身份验证的owasp备忘单,出于安全原因,所有密码都应该通过tsl协议从客户端发送到服务器。 https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Transmit_Passwords_Only_Over_TLS_or_Other_Strong_Transport
Django框架通过http协议发送这些。是否有可能让django通过tsl发送它或以另一种方式解决它?
答案 0 :(得分:3)
当你在互联网上运行Django应用程序时,它通常看起来像这样:
if ([myNumber intValue] < 33) {
}
您可以使用不同的组件,例如Gunicorn而不是uWSGI或Apache而不是nginx。
问题是,您只需使用SSL证书配置Web服务器(Apache或nginx或其他)并侦听https而不是http。
答案 1 :(得分:0)
我认为您正在使用Django runserver命令通过HTTP为您的应用服务器。它绝对不是为生产而制作的,而且是一个真正用于开发的HTTP(唯一)服务器。
要通过SSL / TLS投放您的应用,您必须使用henrikstroem's response
中所述的前端