基于 Django1.10 文档的深入学习(31)—— settings 之 ALLOWED_HOSTS
来源:互联网 发布:郑州海融软件 编辑:程序博客网 时间:2024/06/11 11:17
ALLOWED_HOSTS
Default: [] (Empty list)
表示此Django站点
可以投放的主机/域名的字符串列表。这是防止HTTP主机头部攻击的安全措施,即使在许多看似安全的Web服务器配置下也是如此。
此列表中的值可以是完全限定名称(例如“www.example.com”
),在这种情况下,它们将完全匹配请求的主机标头(不区分大小写,不包括端口)。以期间开头的值可以用作子域通配符:'.example.com'
将匹配example.com
,www.example.com
和example.com的任何其他子域
。值“*”
匹配任何东西;在这种情况下,您有责任提供您自己对Host头
的验证(可能在中间件中);如果是这样,中间件必须首先列在MIDDLEWARE
中)。
Django还允许任何条目的完全限定域名(FQDN)。某些浏览器在主机标头中包含一个后跟点,Django在执行主机验证时将其标记。
如果主机头(或X-Forwarded-Host
(如果USE_X_FORWARDED_HOST
已启用))与此列表中的任何值不匹配,则django.http.HttpRequest.get_host()
方法将引发SuspiciousOperation
。
当DEBUG为True
并且ALLOWED_HOSTS为空
时,主机将针对['localhost','127.0.0.1','[:: 1]']
进行验证。
此验证仅适用于get_host()
;如果您的代码直接从request.META
访问Host头,您将绕过此安全保护。
在Django更改1.10.3: 在旧版本中,如果DEBUG = True,则未检查ALLOWED_HOSTS。这也在Django 1.9.11和1.8.16中改变,以防止DNS重新绑定攻击。
- 基于 Django1.10 文档的深入学习(31)—— settings 之 ALLOWED_HOSTS
- 基于 Django1.10 文档的深入学习(2)—— Settings.py 之 STATIC_*
- 基于 Django1.10 文档的深入学习(1)—— Settings.py 之 MEDIA_ROOT 与 MEDIA_URL
- 基于 Django1.10 文档的深入学习(3)—— models.py 之 FileField
- 基于 Django1.10 文档的深入学习(4)—— models.py 之 class Meta
- 基于 Django1.10 文档的深入学习(5)—— Making queries 之 FOO_set
- 基于 Django1.10 文档的深入学习(6)—— Translation 之 short_description
- 基于 Django1.10 文档的深入学习(8)—— Model field reference 之 choices
- 基于 Django1.10 文档的深入学习(9)—— Extra instance methods 之 get_FOO_display()
- 基于 Django1.10 文档的深入学习(11)—— django.shortcuts 之 render()
- 基于 Django1.10 文档的深入学习(12)—— django.shortcuts 之 redirect()
- 基于 Django1.10 文档的深入学习(13)—— django.core.urlresolvers 之 reverse()
- 基于 Django1.10 文档的深入学习(13)—— Making queries 之 Q objects
- 基于 Django1.10 文档的深入学习(16)——Authentication backends 之 class ModelBackend
- 基于 Django1.10 文档的深入学习(22)——Sending email 之 send_mail()
- 基于 Django1.10 文档的深入学习(23)—— QuerySet API reference 之 icontains
- 基于 Django1.10 文档的深入学习(25)—— Applications 之 基础部分
- 基于 Django1.10 文档的深入学习(10)—— django.contrib.auth 之 User model
- 成为JavaGC专家(1)—深入浅出Java垃圾回收机制
- 读书笔记 —《JavaScript权威指南》
- Java实现Rsa非对称加密
- 道
- Sublime Text3 快捷键
- 基于 Django1.10 文档的深入学习(31)—— settings 之 ALLOWED_HOSTS
- Python 中进程、线程、协程、IO复用
- IntentFilter匹配规则
- 【lab104】F
- html标签中,单引号和双引号区别:
- 古人真愁
- Android 进阶1:Activity 的生命周期
- 笔记本耳机没声音
- 容器SDN技术与微服务架构实践