根据使用 django.views.static.server() 函数的文档是:
低效且不安全。
我明白为什么它效率低下,但它在哪个方面insecure?
问问题
1534 次
2 回答
5
对于初学者来说,它与 Django 测试服务器本身一样不安全,就像上面的答案所说的那样——也就是说,它没有像 CherryPy 这样的“生产就绪”服务器那样测试任何类型的安全性。结果,用户访问他们不应该能够访问的文件时,可能会出现各种潜在的安全问题;虽然这些通常是固定的,但它们不像生产服务器那样被视为“优先级”,而且没有人真正在寻找这些东西。
此外,请参阅今年夏天的Django 安全更新,该更新修复了恶意制作的 URL 可以让访问者访问 Django 用户可以看到的任何文件的情况,即使它不在静态根目录下。它已修复,但应该让您了解为什么应该在生产设置中使用 Real Server。
于 2009-12-27T21:37:23.397 回答
3
django.views.static.server() 基于 django 开发服务器。根据 django 的书,“它没有经过任何形式的安全审计”
它不是为生产目的而设计的,也没有为此目的进行测试。使用未经测试的网络服务器是不安全的。
于 2009-12-27T21:36:25.307 回答