8

在安全方面,如果攻击者知道 SECRET_KEY,他能做什么?有没有迫在眉睫的危险?

4

1 回答 1

3

好吧,从手册

使用已知的 SECRET_KEY 运行 Django 会破坏 Django 的许多安全保护,并可能导致权限提升和远程代码执行漏洞。

我不确定它是如何做这些事情的(即究竟如何使用密钥)。很可能会导致身份验证问题。如果 Django 实际使用它以某种方式提供 https 传输,那么任何能够嗅探流量的人都可以解密流量。

于 2012-11-04T19:26:48.017 回答