El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
HOME Els meus cursos Finalitzats
◄ Anterior

Millors Pràctiques de Seguretat

Següent ►

La seguretat és un aspecte crític en el desenvolupament d'aplicacions web. Django proporciona diverses eines i mecanismes per ajudar a protegir les teves aplicacions contra vulnerabilitats comunes. En aquesta secció, explorarem les millors pràctiques de seguretat que hauríem de seguir quan desenvolupem aplicacions amb Django.

  1. Configuració de Seguretat Bàsica

1.1. Configuració de DEBUG

  • Desactiva DEBUG en producció: Assegura't que la variable DEBUG estigui establerta a False en l'entorn de producció. Quan DEBUG està activat (True), Django mostra informació detallada sobre errors, la qual cosa pot ser útil per als desenvolupadors però perillosa en producció.
# settings.py
DEBUG = False

1.2. Configuració de ALLOWED_HOSTS

  • Defineix ALLOWED_HOSTS: Aquesta variable ha de contenir una llista de dominis o adreces IP que poden servir la teva aplicació. Això ajuda a prevenir atacs de tipus Host Header.
# settings.py
ALLOWED_HOSTS = ['example.com', 'www.example.com']

  1. Protecció contra Atacs Comuns

2.1. Cross-Site Scripting (XSS)

  • Utilitza plantilles de Django: Les plantilles de Django escapen automàticament les dades per defecte, prevenint la majoria dels atacs XSS.
<!-- template.html -->
<p>{{ user_input }}</p> <!-- user_input serà escapada automàticament -->
  • Utilitza el filtre safe amb precaució: Només utilitza el filtre safe quan estiguis segur que el contingut és segur.
<!-- template.html -->
<p>{{ user_input|safe }}</p> <!-- Només si estàs segur que user_input és segur -->

2.2. Cross-Site Request Forgery (CSRF)

  • Activa la protecció CSRF: Django inclou protecció CSRF per defecte. Assegura't d'incloure el token CSRF en tots els formularis.
<!-- template.html -->
<form method="post">
    {% csrf_token %}
    <!-- altres camps del formulari -->
</form>

2.3. SQL Injection

  • Utilitza l'ORM de Django: L'ORM de Django gestiona automàticament l'escapament de les consultes SQL, prevenint atacs d'injecció SQL.
# views.py
from .models import MyModel

# Exemple de consulta segura
results = MyModel.objects.filter(name=user_input)

  1. Configuració de Seguretat Avançada

3.1. Seguretat de les Cookies

  • Configura les opcions de seguretat de les cookies: Utilitza les opcions HttpOnly, Secure i SameSite per protegir les cookies.
# settings.py
SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SESSION_COOKIE_HTTPONLY = True
CSRF_COOKIE_HTTPONLY = True
SESSION_COOKIE_SAMESITE = 'Lax'
CSRF_COOKIE_SAMESITE = 'Lax'

3.2. Seguretat de les Capçaleres HTTP

  • Utilitza el middleware de seguretat de Django: Aquest middleware afegeix diverses capçaleres de seguretat a les respostes HTTP.
# settings.py
SECURE_BROWSER_XSS_FILTER = True
SECURE_CONTENT_TYPE_NOSNIFF = True
X_FRAME_OPTIONS = 'DENY'

3.3. Encriptació de les Dades

  • Utilitza HTTPS: Assegura't que la teva aplicació estigui servida sobre HTTPS per encriptar les dades en trànsit.
# settings.py
SECURE_SSL_REDIRECT = True

  1. Gestió d'Usuaris i Autenticació

4.1. Contrasenyes Segures

  • Configura les opcions de contrasenya: Utilitza les opcions de configuració de contrasenya de Django per assegurar-te que les contrasenyes dels usuaris siguin segures.
# settings.py
AUTH_PASSWORD_VALIDATORS = [
    {
        'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',
    },
    {
        'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',
        'OPTIONS': {
            'min_length': 8,
        }
    },
    {
        'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',
    },
    {
        'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',
    },
]

4.2. Autenticació de Dos Factors (2FA)

  • Implementa 2FA: Considera la implementació de l'autenticació de dos factors per a una seguretat addicional.

  1. Monitorització i Manteniment

5.1. Registre d'Errors i Auditories

  • Configura el registre d'errors: Utilitza el sistema de registre de Django per monitoritzar i registrar errors i activitats sospitoses.
# settings.py
LOGGING = {
    'version': 1,
    'disable_existing_loggers': False,
    'handlers': {
        'file': {
            'level': 'DEBUG',
            'class': 'logging.FileHandler',
            'filename': '/path/to/django/debug.log',
        },
    },
    'loggers': {
        'django': {
            'handlers': ['file'],
            'level': 'DEBUG',
            'propagate': True,
        },
    },
}

5.2. Actualitzacions Regulars

  • Mantén el teu entorn actualitzat: Assegura't d'actualitzar regularment Django i les seves dependències per aplicar els últims pegats de seguretat.

Conclusió

La seguretat és un procés continu que requereix atenció constant. Seguint aquestes millors pràctiques, pots millorar significativament la seguretat de les teves aplicacions Django. Recorda que la seguretat no és només una qüestió tècnica, sinó també de bones pràctiques i consciència constant.

Amb això, hem cobert les millors pràctiques de seguretat per a aplicacions Django. En la següent secció, explorarem com utilitzar Docker amb Django per millorar la gestió i el desplegament de les teves aplicacions.

◄ Anterior
Següent ►
El Projecte | Sobre nosaltres | Contribuir | Donacions | Llicència
© Copyright 2024. Tots els drets reservats