在一个 RoR 项目中,我的主 html 文件中有 <%= csp_meta_tag %>。
我试图利用我在 RoR 的知识在 Django 中构建一个概念应用程序,但是在搜索 Django 内容安全策略时,只出现了一个扩展 (https://django-csp.readthedocs.io/en/latest/)。
没有关于该主题的文档,所以 Django 默认不解决这个常见的安全问题有可能吗?
另外,我只发现了 this 关于这个问题。
答案 0 :(得分:1)
还有 django-security package 但它 supports not all 现有的 CSP 令牌和指令。
我认为 Python 程序员只是使用 HttpResponse object 来做一些简单的事情,比如发出 CSP HTTP 标头。
但有趣的是,Django 有内置的中间件来管理 X-Frame-Options header,但 CSP 没有类似的。
删除长期不受支持的 X-XSS-Protection 标头仅在 Django 4.0 中是 planned。