django不是默认实现了Content Security Policy吗?
Doesn't django implement Content Security Policy by default?
在 RoR 项目中,我在主 html 文件中有 <%= csp_meta_tag %>。
我试图利用我在 RoR 获得的知识在 Django 中构建一个概念性应用程序,但是在搜索 Django 内容安全策略时,只出现了一个扩展 (https://django-csp.readthedocs.io/en/latest/)。
没有关于该主题的文档所以,Django 是否可能默认不解决这个常见的安全问题?
此外,我只发现 SO 问题。
还有 django-security package but it supports not all 个现有的 CSP 令牌和指令。
我认为 Python 程序员只是使用 HttpResponse object 做一些简单的事情,比如发布 CSP HTTP header。
但有趣的是,Django 有 built-in 个中间件来管理 X-Frame-Options header,但 CSP 没有类似的东西。
而删除 long-unsupported X-XSS-Protection header 仅在 Django 4.0 中是 planned。
在 RoR 项目中,我在主 html 文件中有 <%= csp_meta_tag %>。
我试图利用我在 RoR 获得的知识在 Django 中构建一个概念性应用程序,但是在搜索 Django 内容安全策略时,只出现了一个扩展 (https://django-csp.readthedocs.io/en/latest/)。
没有关于该主题的文档所以,Django 是否可能默认不解决这个常见的安全问题?
此外,我只发现
还有 django-security package but it supports not all 个现有的 CSP 令牌和指令。
我认为 Python 程序员只是使用 HttpResponse object 做一些简单的事情,比如发布 CSP HTTP header。
但有趣的是,Django 有 built-in 个中间件来管理 X-Frame-Options header,但 CSP 没有类似的东西。
而删除 long-unsupported X-XSS-Protection header 仅在 Django 4.0 中是 planned。