Какова лучшая практика в отношении заголовков безопасности для Django settings.py и NGINX?

Ссылаясь на OWASP и лучшие отраслевые практики, какой способ настройки заголовков безопасности является наиболее идеальным?

Вот что я сделал на данный момент: Nginx.conf

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
add_header Permissions-Policy "geolocation=(), midi=(), sync-xhr=(), microphone=(), camera=(), magnetometer=(), gyroscope=(), fullscreen=(self), payment=()";
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;

django settings.py

SECURE_REFERRER_POLICY = "strict-origin-when-cross-origin"
CSRF_COOKIE_SECURE = True
CSRF_USE_SESSIONS = True
CSRF_COOKIE_HTTPONLY = True
SESSION_COOKIE_SECURE = True
SESSION_COOKIE_SAMESITE = 'Strict'
#django-csp omitted out

В настоящее время я получаю оценку сервера A+ для этой существующей конфигурации. Однако, я определенно хотел бы узнать больше от тех, кто более опытен в этой области!

Вернуться на верх

Последние вопросы и ответы

Set wrong default value in Django model

How can I prevent HistoricalModel Creation When Inheriting from Abstract Model?

Не могу получить ssl сертификат через certbot

Requiring 2FA (MFA) with Wagtail private pages. I think this works

Django Allauth translation issue: Custom language files not being applied

WebSocket Streaming Not Working in Django + Next.js — Only Getting First and Final Message

How to resolve VSCode Pylance type checking error in Django

Failed to load resource: the server responded with a status of 401 (Unauthorized) - react & django

How do I enable a disabled button after moderators input some text into textarea using `hx-on`?

Adding Markers to OpenStreetMap's Django/Python

Какова лучшая практика в отношении заголовков безопасности для Django settings.py и NGINX?

Последние вопросы и ответы

Рекомендуемые записи по теме