Sự cố bảo mật khi phân phát tệp tĩnh qua Django?

Question

Các official docs nói, trong những staticfiles serve xem:

... quan điểm này là hiển nhiên không hiệu quả và có lẽ không an toàn

Có cảnh báo này chỉ áp dụng cho cái nhìn đặc biệt này, hay có những vấn đề an ninh vốn có trong khái niệm phục vụ các tệp tĩnh thông qua Django? Họ là ai? Giả sử tôi đã đánh giá cao ứng dụng và hiệu suất của mình là có thể chấp nhận được, có bất kỳ vấn đề nào khác mà tôi cần phải biết không?

Answer 1

Đó là không an toàn vì nó không phải là an toàn

Phục vụ các tập tin tĩnh thông qua django có nghĩa là bạn đi qua các mã Python để làm điều gì đó webserver của bạn sẽ làm đáng kể hiệu quả hơn.

Cho rằng tệp tĩnh phân phát là hiệu quả tai hại, không ai sẽ sử dụng điều này trong sản xuất.
Do đó, không ai quan tâm đến tính bảo mật khi phân phát tệp tĩnh ở Django.
Do đó, chế độ xem này là có thể không an toàn.

---

Cuối cùng, đó cũng là lý do giống như máy chủ phát triển. Bạn không phải là được cho là để sử dụng nó trong sản xuất và không phải là nỗ lực làm cho nó an toàn. Nó chỉ thực tế để phát triển.

Ngoài ra, điều gì đó không hiệu quả là điều gì đó khiến bạn bị tấn công DoS. Vì vậy, có, nó không an toàn.

Nhưng bạn không nên sử dụng nó.

Tại sao bạn phân phối tệp tĩnh thông qua Django? Là nó để kiểm soát truy cập vào các tập tin?

Nếu có, bạn nên sử dụng các tiêu đề X-Accel-Redirect (Nginx) hoặc (Apache).

Nhưng đừng làm điều đó cho mình, sử dụng: https://github.com/johnsensible/django-sendfile