xss
会在数据库中存放恶意代码,在展现给其他用户时发动攻击。
使用django的模板系统是可以防护xss的。
使用is_safe、mark_safe和关闭了自动转义时要注意。
csrf
如果使用了exempt就要注意了;同时注意在子域名的防护。
通过在post请求中加一个随机数来防护。
检查origin。
sql注入
使用django的orm可以防护,但是如果使用了raw query则。。。
点击劫持
使用fream或iframe做的
django.middleware.clickjacking.XFrameOptionsMiddleware
ssl
set [SECURE_PROXY_SSL_HEADER]
set [SECURE_SSL_REDIRECT]
so that requests over HTTP are redirected to HTTPS.
一些通过http连接的时候会暴露出cookie
[SESSION_COOKIE_SECURE]
[CSRF_COOKIE_SECURE]
