2
According to the Documentation使用django.views.static.server()函数是:为什么Django函数django.views.static.serve()不安全?
低效和不安全的。
我明白为什么它效率低下,但在哪方面insecure?
A
回答
5
它和Django测试服务器本身一样不安全,对于初学者来说,就像上面的答案所说 - 也就是说,它没有像CherryPy那样的“生产就绪”服务器的方式测试任何类型的安全性。因此,用户访问他们应该无法访问的文件可能存在各种潜伏的安全问题;虽然这些通常是固定的,但它们不会被认为是“优先”的,因为它们将与生产服务器一起使用,并且没有人真正在寻找这些东西。
此外,请参阅今年夏天的Django security update,它修复了恶意制作的URL可以让访问者访问Django用户可以看到的任何文件的情况,即使它不在静态根目录下。它是固定的,但应该让你知道为什么你应该在生产环境中使用Real Server。
3
django.views.static.server()基于django开发服务器。根据django书,“它没有经过任何类型的安全审计”
它不是为生产目的而设计的,它也没有为此测试过。使用未经测试的网络服务器是不安全的。
相关问题
- 1. 为什么Django使用django.views.static.serve缓存我的静态?
- 2. __caller__为什么不安全?
- 3. 这为什么不安全?
- 4. 为什么“strcat”被视为“不安全”?
- 5. 为什么我的安全iframe被报告为不安全?
- 6. 为什么全局函数为null?
- 7. SimpleDateFormat - 不安全,但为什么?
- 8. 为什么MAVLink协议不安全?
- 9. 为什么在JavaScript中eval不安全?
- 10. 为什么C#中的ArrayList不安全?
- 11. 为什么内联JS块不安全?
- 12. 为什么我的cookie不安全?
- 13. vsnprintf为什么安全?
- 14. 为什么CopyOnWriteArrayList安全?
- 15. 为什么“example.it”安全并且“www.example.it”不安全?
- 16. 为什么肥皂是安全的?为什么不使用HTTPS?
- 17. 为什么std :: queue :: empty()不是线程安全的?不应该const函数是线程安全的?
- 18. 安全作为函数名
- 19. 为什么全局函数在角1.3
- 20. 为什么允许从函数内返回不安全的指针?
- 21. 为什么认为加密更安全?
- 22. 为什么数据库链接对安全性不好
- 23. 为什么在JavaScript原型函数中使用全局函数?
- 24. 为什么Django中的Model.save()函数的重写不能工作?
- 25. 找不到页面django.views.static.serve
- 26. 为什么函数不能完全执行?
- 27. 为什么Lua + Nginx说它不能调用全局函数?
- 28. 为什么不将全局变量值传递给函数?
- 29. 静态成员函数和全局函数有什么不同?
- 30. 为什么SQL函数将小数位更改为全零?