Django-Security 技术文档

1. 安装指南

首先，请确保您的环境满足以下要求：

• Python >=3.12
• Django ~=4.2

安装方式一：Python 包仓库

您可以使用 pip 命令从 Python 包仓库安装 Django-Security：

pip install django-security

安装方式二：GitHub 仓库

如果您需要最新的开发版本，可以从 GitHub 上的 django-security 仓库安装：

git clone https://github.com/sdelements/django-security.git
cd django-security
poetry install

接着，在您的 Django 应用程序的 settings.py 文件中添加以下内容：

INSTALLED_APPS = (
    ...
    'security',
    ...
)

MIDDLEWARE = (
    ...
    'security.middleware.LoginRequiredMiddleware',
    ...
)

2. 项目使用说明

Django-Security 提供了多种模型、视图、中间件和表单，用于加强 Django 应用的安全性。以下是部分提供的中间件及其描述：

中间件	描述	配置
ClearSiteDataMiddleware	在 HTTP 响应中为任何已被列入白名单的页面发送 Clear-Site-Data 头部。推荐使用。	必需
ContentSecurityPolicyMiddleware	在 HTTP 响应中发送内容安全策略（CSP）头部。推荐使用，需要仔细调整。	必需
LoginRequiredMiddleware	要求用户认证才能查看网站上未被列入白名单的任何页面。	必需
MandatoryPasswordChangeMiddleware	如果用户的密码已过期，将重定向任何来自认证用户的请求到密码更改表单。	必需
NoConfidentialCachingMiddleware	为机密页面添加 No-Cache 和 No-Store 头部。	必需
ReferrerPolicyMiddleware	指定浏览器何时设置 Referer 头部。	可选
SessionExpiryPolicyMiddleware	在浏览器关闭时及在 cookies 中存储的到期时间时使会话过期。	必需
ProfilingMiddleware	一个简单的中间件，用于捕获 Django 中的有用性能分析信息。	可选

3. 项目API使用文档

Django-Security 提供了以下视图：

• csp_report: 该视图允许接收由浏览器发送的、针对 ContentSecurityPolicyMiddleware 设置的 CSP 头部的内容安全策略违规报告。仅当需要长期持续分析 CSP 报告时使用。对于一次性 CSP 设置，使用 CspBuilder 会更加简单。

• require_ajax: 一个视图装饰器，确保正在处理的请求是 AJAX 请求。

此外，还提供了以下模型：

• CspReport: 内容安全策略违规报告对象。仅当使用 ContentSecurityPolicyMiddleware 和 csp_report 视图时才有意义。
• PasswordExpiry: 将密码过期日期与用户关联。

4. 项目安装方式

请参考上文“1. 安装指南”中的步骤进行安装。