Django 自带部署检查工具,可以帮助我们快速发现生产环境中常见的安全配置问题。上线前建议先执行一次检查,再逐项处理提示。
运行部署检查
python manage.py check --deploy强制 HTTP 跳转 HTTPS
SECURE_SSL_REDIRECT = True反向代理下的 SSL 配置
如果 Django 部署在 Nginx、负载均衡或其他反向代理后面,需要明确告诉 Django 哪个请求头代表 HTTPS。
SECURE_PROXY_SSL_HEADER = ("HTTP_X_FORWARDED_PROTO", "https")以上配置只是基础项。生产环境还应结合 Cookie 安全、HSTS、Allowed Hosts、CSRF、日志和监控一起检查。