公式ドキュメントによると、staticfilesserveビューについて:
... このビューは非常に非効率的であり、おそらく安全ではありません
この警告はこの特定のビューにのみ適用されますか? それとも、Django を介して静的ファイルを提供するという概念に固有のセキュリティ上の問題がありますか? 彼らは何ですか?アプリケーションのベンチマークを実施し、パフォーマンスが許容範囲内であると仮定した場合、他に注意すべき問題はありますか?
1220 次
1 に答える
9
安全である必要がないため、安全ではありません
django を介して静的ファイルを提供するということは、Python コードを調べて、Web サーバーがはるかに効率的に行うことを意味します。
静的ファイルを提供することはパフォーマンス面で悲惨なことであるため、本番環境でこれを使用する人はいません。
したがって、誰も Django で静的ファイルを提供することのセキュリティを気にしません。
結果として、このビューは おそらく安全ではありません。
最終的には、開発サーバーと同じ理論的根拠です。本番環境で使用することは想定されておらず、安全にするために努力している人もいません。開発には実用的です。
また、非効率的なものは、DoS 攻撃にさらされるものです。そうです、それは安全ではありません。
しかし、あなたはそれを使うべきではありません。
Django を介して静的ファイルを提供するのはなぜですか? それらのファイルへのアクセスを制御するためですか?
はいの場合は、X-Accel-Redirect(Nginx) またはX-Sendfile(Apache) ヘッダーを使用する必要があります。
しかし、自分でやらないでください: https://github.com/johnsensible/django-sendfile
于 2013-03-21T17:31:13.580 に答える