DEBUG = True Django

Question

Trong môi trường sản xuất, tại sao tôi lại nghe mọi người nói rằng rời khỏi DEBUG = Đúng là nguy hiểm?

Ví dụ về việc ai đó có thể khai thác vấn đề bảo mật này để thực hiện tác vụ độc hại trên máy chủ của tôi là gì?

Answer 1

https://docs.djangoproject.com/en/dev/ref/settings/#debug

"Không bao giờ triển khai một trang web vào sản xuất với DEBUG bật.

Bạn có nắm bắt đó? KHÔNG BAO GIỜ triển khai một trang web vào sản xuất với DEBUG bật.

Một trong những tính năng chính Nếu ứng dụng của bạn đặt ra một ngoại lệ khi DEBUG là True, Django sẽ hiển thị một traceback chi tiết, bao gồm rất nhiều siêu dữ liệu về môi trường của bạn, chẳng hạn như tất cả các cài đặt Django hiện đang được xác định (từ cài đặt. py). "

Về cơ bản, đó là lỗ hổng bảo mật định hình.

Nó cũng lãng phí nhiều bộ nhớ:.

"Nó cũng quan trọng để nhớ rằng khi chạy với DEBUG bật, Django sẽ nhớ mọi truy vấn SQL nó thực thi này rất hữu ích khi bạn đang gỡ lỗi, nhưng nó sẽ nhanh chóng tiêu thụ bộ nhớ trên một máy chủ sản xuất. "

Answer 2

Django cố gắng hết sức để làm xáo trộn thông tin bảo mật trong trang gỡ lỗi của bạn, nhưng nó không hoàn hảo.

Theo mặc định, mọi cài đặt bao gồm KEY (bắt đầu từ Django 1.4), SECRET vv sẽ tự động được thay thế bằng *. Tuy nhiên, nếu ai đó quyết định sáng tạo và gọi SECRET là SECURE_STR hoặc bất kỳ điều gì, điều đó sẽ được hiển thị dưới dạng văn bản thuần túy! Bạn có muốn điều đó không? Ngoài ra nó chỉ là thức ăn nhiều hơn cho một ai đó để hack vào máy chủ của bạn một cách dễ dàng.