Django-CSP 技术文档

1. 安装指南

安装 Django-CSP

Django-CSP 是一个用于为 Django 应用程序添加 Content-Security-Policy (CSP) 头部的库。你可以通过以下步骤安装 Django-CSP：

1. 使用 pip 安装：

   pip install django-csp
   

2. 添加到 Django 项目： 在 settings.py 文件中，将 django_csp 添加到 INSTALLED_APPS 中：

   INSTALLED_APPS = [
       ...
       'django_csp',
       ...
   ]
   

3. 配置中间件： 在 settings.py 文件中，将 django_csp.middleware.CSPMiddleware 添加到 MIDDLEWARE 列表中：

   MIDDLEWARE = [
       ...
       'django_csp.middleware.CSPMiddleware',
       ...
   ]
   

2. 项目的使用说明

配置 Content-Security-Policy 头部

Django-CSP 允许你通过 settings.py 文件中的 CSP_CONFIG 来配置 CSP 头部。以下是一个简单的配置示例：

CSP_CONFIG = {
    'DEFAULT_SRC': ["'self'"],
    'SCRIPT_SRC': ["'self'", 'https://trusted-cdn.com'],
    'STYLE_SRC': ["'self'", 'https://trusted-cdn.com'],
    'IMG_SRC': ["'self'", 'data:'],
}

使用装饰器修改策略

Django-CSP 提供了一些装饰器，允许你在特定视图上修改或替换 CSP 策略。例如：

• @csp_exempt：忽略该视图的 CSP 策略。
• @csp_update：更新该视图的 CSP 策略。
• @csp_replace：替换该视图的 CSP 策略。

示例：

from django_csp.decorators import csp_update

@csp_update(SCRIPT_SRC="'self' https://another-trusted-cdn.com'")
def my_view(request):
    ...

3. 项目API使用文档

中间件

Django-CSP 的核心功能通过 CSPMiddleware 中间件实现。该中间件会自动为每个响应添加 CSP 头部。

装饰器

• @csp_exempt：忽略该视图的 CSP 策略。
• @csp_update：更新该视图的 CSP 策略。
• @csp_replace：替换该视图的 CSP 策略。

配置选项

• CSP_CONFIG：用于配置全局 CSP 策略。
• CSP_REPORT_ONLY：设置为 True 时，CSP 策略仅用于报告，不会阻止任何资源加载。

4. 项目安装方式

通过 pip 安装

pip install django-csp

手动安装

1. 克隆项目仓库：

   git clone https://github.com/mozilla/django-csp.git
   

2. 进入项目目录并安装：

   cd django-csp
   python setup.py install
   

通过以上步骤，你可以成功安装并配置 Django-CSP，为你的 Django 应用程序添加 Content-Security-Policy 头部。