diff --git a/28.md b/28.md index cda6334..b163765 100644 --- a/28.md +++ b/28.md @@ -34,6 +34,8 @@ CSRF_COOKIE_SECURE = True ``` 참조: https://docs.djangoproject.com/en/3.2/topics/security/#ssl-https + + ## 28.7 Use Allowed Hosts Validation (ALLOWED_HOSTS 설정하기) ## 28.8 Always Use CSRF Protection With HTTP Forms That Modify Data @@ -42,6 +44,10 @@ CSRF_COOKIE_SECURE = True GET 메소드를 사용하는 유일한 예외상황은 검색 양식에 대한 것이다. 여기서는 사용자가 URL에 인수를 표시하는 것이 유용하다. + + + + ## 28.11 Validate All Incoming Data With Django Forms Django form은 웹 소스가 아닌 소스를 포함하여 프로젝트로 가져오는 모든 데이터의 유효성을 검사하는 데 사용해야 한다. 그렇게 하면 데이터의 무결성이 보호되고 애플리케이션 보안의 일부가 된다. @@ -53,12 +59,13 @@ Django form은 웹 소스가 아닌 소스를 포함하여 프로젝트로 가 ## 28.12 Disable the Autocomplete on Payment Fields + ## 28.14 Don’t Use ModelForms.Meta.exclude ## 28.15 Don’t Use ModelForms.Meta.fields = ```"__all__"``` -## 28.16 Beware of SQL Injection Attacks - + + ## 28.18 Monitor Your Sites ## 28.19 Keep Your Dependencies Up-to-Date @@ -72,6 +79,9 @@ Clickjacking은 악성 사이트가 사용자가 숨겨진 프레임이나 ifram 참조: https://docs.djangoproject.com/en/3.2/ref/clickjacking/ ![Clickjacking](image.png) + + + ## 28.23 Embrace SecurityMiddleware ## 28.24 Force the Use of Strong Passwords @@ -85,6 +95,7 @@ Clickjacking은 악성 사이트가 사용자가 숨겨진 프레임이나 ifram 비밀번호 복사/붙여넣기를 허용하지 않으면. 사용자가 기억하기 쉽거나 반복적으로 사용되는 비밀번호에 의존하도록 권장하는 anti-pattern이다. + ## 28.27 Put Up a Vulnerability Reporting Page 사용자가 보안 취약점을 보고할 수 있는 방법에 대한 정보를 사이트에 게시하는 것은 좋은 방법이다. @@ -132,3 +143,7 @@ UUID('0b0fb68e-5b06-44af-845a-01b6df5e0967') ``` ## 28.29 Upgrade Password Hasher to Argon2 + +## 28.31 Reference Our Security Settings Appendix +## 28.32 Review the List of Security Packages +## 28.33 Keep Up-to-Date on General Security Practices \ No newline at end of file