HTTP严格传输安全
从Django HSTS上
对于只能通过HTTPS访问的网站,您可以通过设置“SSL-Transport-Security”头来指示现代浏览器拒绝通过不安全连接连接到您的域名(在给定的时间段内)。这可以减少您遭受某些SSL剥离中间人(MITM)攻击的风险。
如果您将SECURE_HSTS_SECONDS设置为非零整数值,SecurityMiddleware将在所有HTTPS响应上为您设置此标头。
然而,这个头也可以由Nginx在conf文件中设置,通过添加一行:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;";
字符串
所以问题是,我们应该配置Nginx来设置这个头文件还是Django SecurityMiddleware,通过在项目设置文件中添加HSTS设置?
1条答案
按热度按时间2w2cym1i1#
这完全取决于你。如果你运行多个站点,在你的web服务器设置中设置一个全局值可能会更容易。但是,如果你在Django中设置它,那么将你的应用程序移动到一个新的web服务器会更容易。