The web framework for perfectionists with deadlines.

Dokumentation

  • dev

Hur man använder Djangos Content Security Policy

Grundläggande konfiguration

Så här aktiverar du Content Security Policy (CSP) i ditt Django-projekt:

  1. Lägg till CSP-mellanprogramvaran till din MIDDLEWARE-inställning:

    MIDDLEWARE = [
    # ...
    "django.middleware.csp.ContentSecurityPolicyMiddleware",
    # ...
]

  2. Konfigurera CSP-policyerna i din settings.py med antingen SECURE_CSP eller SECURE_CSP_REPORT_ONLY (eller båda). CSP-inställningsdokumentationen ger mer information om skillnaderna mellan dessa två:

    from django.utils.csp import CSP

# To enforce a CSP policy:
SECURE_CSP = {
    "default-src": [CSP.SELF],
    # Add more directives to be enforced.
}

# Or for report-only mode:
SECURE_CSP_REPORT_ONLY = {
    "default-src": [CSP.SELF],
    # Add more directives as needed.
    "report-uri": "/path/to/reports-endpoint/",
}

Nonce-konfiguration

För att använda nonces i din CSP-policy måste du, förutom den grundläggande konfigurationen, göra följande:

  1. Inkludera platshållarvärdet NONCE i CSP-inställningarna. Detta gäller endast direktiven script-src eller style-src:

    from django.utils.csp import CSP

SECURE_CSP = {
    "default-src": [CSP.SELF],
    # Allow self-hosted scripts and script tags with matching `nonce` attr.
    "script-src": [CSP.SELF, CSP.NONCE],
    # Example of the less secure 'unsafe-inline' option.
    "style-src": [CSP.SELF, CSP.UNSAFE_INLINE],
}

  2. Lägg till csp()-kontextprocessorn till din TEMPLATES-inställning. Detta gör det genererade nonce-värdet tillgängligt i Django-mallarna som kontextvariabeln csp_nonce:

    TEMPLATES = [
    {
        "BACKEND": "django.template.backends.django.DjangoTemplates",
        "OPTIONS": {
            "context_processors": [
                # ...
                "django.template.context_processors.csp",
            ],
        },
    },
]

  3. I dina mallar lägger du till attributet nonce till relevanta inline-taggarna <style> eller <script> med hjälp av kontextvariabeln csp_nonce:

    <style nonce="{{ csp_nonce }}">
  /* These inline styles will be allowed. */
</style>

<script nonce="{{ csp_nonce }}">
  // This inline JavaScript will be allowed.
</script>

Cachning och återanvändning av nonce

ContentSecurityPolicyMiddleware hanterar automatiskt genereringen av en unik nonce och infogar lämpligt nonce-<value>-källuttryck i Content-Security-Policy- (eller Content-Security-Policy-Report-Only-) rubriken när noncen används i en mall.

För att säkerställa korrekt funktion, se till att både HTML-koden och rubriken genereras inom samma begäran och inte hämtas från cacheminnet. Se referensdokumentationen om Nonce usage för implementeringsdetaljer och viktiga överväganden kring cachning.

Back to Top

Ytterligare information

Stöd Django!

Support Django!

Innehåll

Få hjälp

FAQ
Prova FAQ — där finns svar på många vanliga frågor.
Index, Modulindex, or Innehållsförteckning
Praktiskt när du letar efter specifik information.
Django Discord Server
Gå med i Djangos Discord-gemenskap.
Officiellt Django Forum
Gå med i gemenskapen på Django Forum.
Ärendehantering
Rapportera fel med Django- eller Django-dokumentation i vår biljettspårare.

Offline (Django 6.0): HTML | PDF | ePub
Tillhandahålls av Läs dokumenten .

Diamond and Platinum Members