## 設定ファイル - [x] 「DEBUG」をTrueにしない - [x] 「ALLOWED_HOSTS」を適切に設定する("*" にしない) - [x] 「SECRET_KEY」には十分複雑な文字列を設定する - [ ] シークレットな変数を適切に管理する(バージョン管理下に置かない) - (SECRET_KEY] - 「DATABASES」の接続情報 - 「CACHES」の接続情報 - メール送信関連の接続情報(巻末付録 A 参照) - その他、AWSなどの外部サービスのAPIキーやパスフレーズ - [ ] ミドルウェア(MIDDLEWARE)のセキュリティ措置を適切に利用する - 「SecurityMiddleware」を有効にする(SSL/HTTPSサポートなど) - 「CSrfViewMiddleware」を有効にする(CSRF対策) - 「XFrameOptionsMiddleware」を有効にする(クリックジャッキング対策) - [ ] セッションバックエンド(SESSION_ENGINE)をCookieやローカルメモリにしない ## テンプレート - [x] 自動エスケープの無効化(safeフィルタやautoescapeタグ)は必要最小限に - 第三者が登録・更新する可能性のある項目は自動エスケープを無効化しない ## ログイン - [ ] 総当たり攻撃への対策をする - 「AUTH_PASSWORD_VALIDATORS」を適切に設定し、簡単なパスワードを作成させない - <案> ログイン失敗回数制限(レートリミット)の仕組みを導入する ## ファイルアップロード - [x] 画像ファイルを扱うフィールドはFileFieldではなくImageFieldにする - [ ] アップロードファイルの不正チェックをおこなう(第4章参照) ## 管理サイト - [x] システム管理者(superuser)アカウントは厳重に取り扱う - [ ] 管理サイトへのアクセスを制限する - 管理サイトが不要であればURLconfから「admin/」を削除
設定ファイル
テンプレート
ログイン
ファイルアップロード
管理サイト