个人中心
文章发布
退出
作者热门文章
- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
26
4
Django 的内置功能可以在出现错误时向管理员发送电子邮件(请参阅 https://docs.djangoproject.com/en/dev/howto/error-reporting/)非常方便。
但是,这些追溯电子邮件包含环境变量的完整转储。
并且按照 django 文档和其他地方(例如 https://docs.djangoproject.com/en/dev/howto/deployment/checklist/)中的建议,我将一些 secret / key /密码移动到环境变量中,作为一种简单的方法让它们远离代码库并在部署中改变它们。不幸的是,这意味着当出现崩溃报告时,这些 secret 会以明文形式发送到一组电子邮件帐户。这不是一个好的做法。
django ExceptionReporter 具有基本的过滤功能,可以提取“危险或令人反感”的设置,例如settings.py 中名称包含字符串“pass”或“key”的任何项的值将被替换为****s。因此,settings.py 中的 key 被删除。但是这个过滤器不适用于环境变量,它出现在这些错误报告的 Traceback->Local vars->request 和 Request Information->Meta 部分。
显然还有其他方法来管理 secret ,但 unix 环境是小型站点的一种非常常见的解决方案,在这些站点中创建更复杂的配置系统是不必要的。
这两种做法似乎也有问题,它们都在基本的 django 文档中推荐,当一起应用时是不安全的。
通过电子邮件发送站点调试信息总是会带来一些信息泄露的风险,但这似乎是一个重大的遗漏,可以通过扩展过滤来解决,或许可以通过某些设置来控制。
有没有人已经为他们的部署修补了这个(大概是在 django/views/debug.py 中扩展了过滤)和/或向 django 团队提交了补丁?还是我错过了其他一些明显的方法来解决这个问题?
最佳答案
好的,在我之前的检查中错过了这个,但显然 django 团队大约在 6 年前记录了这个错误并将其关闭为不会修复:
https://code.djangoproject.com/ticket/7472
我会和他们一起解决这个问题,因为我相信 django 在此期间在安全方面取得了实质性进展,现在可能想要并有一些简单的方法来解决这个问题。 :)
与此同时,如果您使用此向管理员发送电子邮件的功能,请注意风险。如果您发送这些电子邮件,那么我强烈建议您将所有 secret /密码/ key /证书/等保留或放置在 python 配置文件中,并确保您正在清理传递给您的 django 网络服务的 (unix) 环境。
关于python - Django 报错邮件 : env vars leak info,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27411362/
26
4
0
这个问题已经有答案了: env-cmd error failed to locate ./.env file in gatsby? (14 个回答) 已关闭 3 年前。 我正在学习 Gatsby 教程
我正在尝试使用 mgcv-package,但 mgcv::gam-function 只返回一条错误消息 Tmean = c(1,3,10,5,7) prec = c(300,500,700,600,5
在 Laravel 6 中 Documentation Application Key的第二段是这样写的 Typically, this string should be 32 characters
我试图在创建消息时传递 sns 主题。但根据创建的变量,arn 可能会有所不同。 例如,在环境变量中,我将有 3 个人及其主题。 john = arn:xxxxxxxx sally= arn:xxxx
我开始学习 Angular2,我发现在示例中它们覆盖了配置文件中的 process.env.NODE_ENV 和 process.env.ENV 变量。此代码来自 this example 的 web
我从头开始创建了一个Kotlin原生应用程序,我得到了上面的错误。我怎么才能解决这个问题呢?这是一款简单的“Hello World”应用程序。我有其他计算机,但该错误没有出现在那里。我认为这与科南没有
我有一个 Dockerfile,我在其中设置了一些环境变量(在我运行容器时使用)。一些环境变量依赖于以前的环境变量。当我可以替换为一个变量时,我想保持干爽并避免多次对环境变量的值进行硬编码。 在这个简
我正在学习 Docker 并面临将一个 env 变量的值替换为另一个 env 变量的问题。 这是我的 Dockerfile FROM ubuntu ENV var_env=Tarun ENV comm
我正在将一个项目从 Symfony 2.3 升级到 Symfony 3.4,我对 .env 和 .env.dist 文件之间的关系有点困惑。据我了解,它们之间的关系与Symfony2中paramete
在 python 中,有没有办法从特定的 .env 文件中检索 env 变量的值?例如,我有多个 .env 文件,如下所示: .env.a .env.a ... 我在 .env.b 中有一个名为 IN
我假设我的身份验证服务无法加载配置文件,从而导致错误。我正在关注 AUTH0 上的教程。这是链接 https://auth0.com/blog/real-world-angular-series-pa
我正在使用 base.env 作为我的几个 docker 服务的 env_file。在这个 base.env 中,我有几个部分的环境变量在整个文件中重复。例如,对于三个不同的环境变量,port 和 i
我正在尝试使用 values.SecretValue() 设置我的 aws 存储桶名称。要设置 Django 的媒体 url,我过去使用过: AWS_STORAGE_BUCKET_NAME = val
我通过从PowerShell运行$env:path ="$($env:path);."来“解决”一个问题。显然,它将当前目录添加到了我的路径。请添加到哪个路径变量?在我的环境变量对话框中,我会在哪里看
我有一个很长的自定义应用程序配置文件,用于在工作站上运行的应用程序,其中一些文本元素必须在系统之间手动更改。 这个脚本是为了让我的生活更轻松 - $content = Get-Content("C:\
因为我使用docker和docker-compose而不是Homestead和任何基于Vargrant的开发解决方案,所以我想避免与laravel在.env文件的使用上发生冲突。因此,我希望larav
当我尝试最后一个例子时 perlfaq5: How-do-I-count-the-number-of-lines-in-a-file?我收到一条错误消息。我应该怎样做才能使脚本正常工作? #!/usr
我试图理解为什么当我从我的 .env 文件中明确删除或注释掉它们时,我的 Docker 容器中的 env 变量仍然出现。我是 Docker 的新手,不知道这是预期的行为还是异常。 我的系统设置方式是,
我正在使用 PHP 和 Laravel 框架,我使用 .env 来设置我的环境变量。然后我从我的 PHP 环境调用 python 脚本,并将结果返回给 PHP。我的问题是,在 Python 中设置的默
我安装了 Anaconda 并创建了一个新环境(“dell_proj”)。然后我用我的新环境在 Pycharm 中创建了一个新项目。我的期望是我只能在这个项目中使用我通过 Conda 在特定环境中安装
我是一名优秀的程序员,十分优秀!