官方文档说,静态文件视图serve:
...这种观点效率极低,而且可能不安全
此警告是否仅适用于此特定视图,或者通过 Django 提供静态文件的概念是否存在固有的安全问题?这些是什么?假设我已经对我的应用程序进行了基准测试并且性能是可以接受的,还有其他我应该注意的问题吗?
问问题
1220 次
1 回答
9
它是不安全的,因为它不一定是安全的
通过 django 提供静态文件意味着您通过 Python 代码来执行您的网络服务器可以更有效地执行的操作。
鉴于提供静态文件在性能方面是灾难性的,没有人会在生产中使用它。
因此,没有人关心在 Django 中提供静态文件的安全性。
因此,这种观点 可能是不安全的。
最终,它与开发服务器的基本原理相同。您不应该在生产中使用它,也没有人致力于使其安全。它只是实用的开发。
此外,一些低效的东西会使您暴露于 DoS 攻击。所以是的,这是不安全的。
但你不应该使用它。
为什么要通过 Django 提供静态文件?是控制对这些文件的访问吗?
如果是,您应该使用X-Accel-Redirect(Nginx) 或X-Sendfile(Apache) 标头。
于 2013-03-21T17:31:13.580 回答