SECRET_KEY¶

Kunci rahasia harus nilai acak besar dan dia harus tetap rahasia.

Pastikan bahwa kunci digunakan dalam produksi tidak digunakan dimanapun dan hindari menyerahkannya ke sumber kendali. Ini mengurangi sejumlah vektor dari yang sebuah penyerang mungkin mendapatkan kunci.

Daripada kode keras kuncu rahasia dalam modul pengaturan anda, pertimbangkan memuatnya dari sebuah variabel lingkungan:

import os

SECRET_KEY = os.environ["SECRET_KEY"]

atau dari sebuah berkas:

with open("/etc/secret_key.txt") as f:
    SECRET_KEY = f.read().strip()

Jika memutar kunci rahasia, anda mungkin menggunakan SECRET_KEY_FALLBACKS:

import os

SECRET_KEY = os.environ["CURRENT_SECRET_KEY"]
SECRET_KEY_FALLBACKS = [
    os.environ["OLD_SECRET_KEY"],
]

Pastikan bahwa kunci rahasia lama dipindahkan dari SECRET_KEY_FALLBACKS pada waktu yang tepat..

DEBUG¶

Anda dilarang mengaktifkan debug di lingkungan produksi.

Anda pasti mengembangkan proyek anda dengan DEBUG = True, sejak ini mengadakan fitur mudah seperti pelacakan kembali penuh dalam perambah anda.

Untuk sebuah lingkungan produksi, meskipun, ini adalah ide jelek, karena dia membocorkan banyak informasi tentang proyek anda; kutipan dari kode sumber anda, variabel lokal, pengaturan, pustaka-pustaka digunakan, dll.

ALLOWED_HOSTS¶

Ketika DEBUG = False, Django tidak bekerja sama sekali tanpa nilai cocok untuk ALLOWED_HOSTS.

Pengaturan ini diwajibkan untuk melindungi situs anda terhadap beberapa serangan CSRF. Jika anda menggunakan wildcard, anda harus melakukan pengecekan anda sendiri dari kepala Host HTTP, atau jika tidak pastikan bahwa anda tidak rentan ke kategori serangan ini.

You should also configure the web server that sits in front of Django to validate the host. It should respond with a static error page or ignore requests for incorrect hosts instead of forwarding the request to Django. This way you'll avoid spurious errors in your Django logs (or emails if you have error reporting configured that way). For example, on nginx you might set up a default server to return "444 No Response" on an unrecognized host:

server {
    listen 80 default_server;
    return 444;
}

CACHES¶

Jika anda sedang menggunakan penyimpanan sementara, parameter hubungan mungkin berbeda dalam pengembangan dan di produksi. Awalan Django pada per-pengolahan local-memory caching yang mungkin tidak diinginkan.

Server penyimpanan seringnya memiliki autentifikasi yang lemah. Pastikan hanya menerima koneksi dari server aplikasi anda saja.

DATABASES¶

Parameter hubungan basisdata kemungkinan berbeda di pengembangan dan di produksi.

Sandi basisdata sangat rahasia. Anda harus melindungi mereka persis seperti SECRET_KEY.

Untuk keamanan maksimal, pastikan peladen basisdata hanya menerima hubungan dari peladen aplikasi anda.

Jika anda belum menyetel sokongan basisdata anda, lakukan sekarang!

EMAIL_BACKEND dan pengaturan terkait¶

Jika situs anda mengirim surel, nilai ini butuh disetel dengan benar.

Secara awal, Django mengirim surel dari webmaster@localhost dan root@localhost. Bagaimanapun, beberapa penyedia surat menolak surel dari alamat ini. Untuk menggunakan alamat pengirim berbeda, rubah pengaturan DEFAULT_FROM_EMAIL dan SERVER_EMAIL

STATIC_ROOT dan STATIC_URL¶

Berkas statis otomatis dilayani oleh peladen pengembangan. Di produksi, anda harus menentukan direktori STATIC_ROOT dimana collectstatic akan menyalin mereka.

Lihat Bagaimana mengelola berkas statik (misalnya gambar, JavaScript, CSS) untuk informasi lebih.

MEDIA_ROOT dan MEDIA_URL¶

Berkas-berkas media diunggah oleh pengguna anda. Mereka adalah tidak dapat dipercaya! Pastikan peladen jaringan anda tidak pernah berusaha menterjemahkan mereka. Sebagai contoh, jika seorang pengguna mengunggah berkas .php, peladen jaringan jangan menjalankannya.

Sekarang waktu tepat untuk memeriksa strategi sokongan anda untuk berkas ini.

CSRF_COOKIE_SECURE¶

Setel ini menjadi True untuk menghindari mengirimkan kue CSRF melalui HTTP dengan tidak sengaja.

SESSION_COOKIE_SECURE¶

Ubah jadi True untuk menghindari pengiriman cookie sesi melalui HTTP secara tidak sengaja.

Sesi¶

Pertimbangkan menggunakan cached sessions untuk meningkatkan penampilan.

Jika menggunakan sesi didukung-basisdata, secara teratur clear old sessions untuk menghindari menyimpan data yang tidak diperlukan.

CONN_MAX_AGE¶

Mengadakan persistent database connections dapat menghasilkan sebuah kecepatan bagus ketika berhubung ke akun basisdata untuk bagian khusus dari waktu pengolahan permintaan.

Ini membantu banyak pada rumah virtual dengan penampilan jaringan terbatas.

TEMPLATES¶

Enabling the cached template loader often improves performance drastically, as it avoids compiling each template every time it needs to be rendered. When DEBUG = False, the cached template loader is enabled automatically. See django.template.loaders.cached.Loader for more information.

LOGGING¶

Pratinjau konfigurasi pencatatan anda sebelum menaruh situs jaringan anda dalam produksi, dan periksa bahwa dia bekerja seauai harapan setelah anda menerima beberapa lalu lintas.

Lihat Pencatatan untuk rincian pada tempuhan.

ADMINS dan MANAGERS¶

ADMINS akan diberitahu dari 500 kesalahan oleh surel.

MANAGERS akan diberitahu kesalahan 404. IGNORABLE_404_URLS dapat membantu saringan laporan palsu.

Lihat Bagaimana mengelola pelaporan kesalahan untuk rincian di pelaporan kesalahan oleh email.

Sesuaikan tampilan kesalahan awal¶

Django includes default views and templates for several HTTP error codes. You may want to override the default templates by creating the following templates in your root template directory: 404.html, 500.html, 403.html, and 400.html. The default error views that use these templates should suffice for 99% of web applications, but you can customize them as well.