- c - 在位数组中找到第一个零
- linux - Unix 显示有关匹配两种模式之一的文件的信息
- 正则表达式替换多个文件
- linux - 隐藏来自 xtrace 的命令
Django 的内置功能可以在出现错误时向管理员发送电子邮件(请参阅 https://docs.djangoproject.com/en/dev/howto/error-reporting/)非常方便。
但是,这些追溯电子邮件包含环境变量的完整转储。
并且按照 django 文档和其他地方(例如 https://docs.djangoproject.com/en/dev/howto/deployment/checklist/)中的建议,我将一些 secret / key /密码移动到环境变量中,作为一种简单的方法让它们远离代码库并在部署中改变它们。不幸的是,这意味着当出现崩溃报告时,这些 secret 会以明文形式发送到一组电子邮件帐户。这不是一个好的做法。
django ExceptionReporter 具有基本的过滤功能,可以提取“危险或令人反感”的设置,例如settings.py 中名称包含字符串“pass”或“key”的任何项的值将被替换为****s。因此,settings.py 中的 key 被删除。但是这个过滤器不适用于环境变量,它出现在这些错误报告的 Traceback->Local vars->request 和 Request Information->Meta 部分。
显然还有其他方法来管理 secret ,但 unix 环境是小型站点的一种非常常见的解决方案,在这些站点中创建更复杂的配置系统是不必要的。
这两种做法似乎也有问题,它们都在基本的 django 文档中推荐,当一起应用时是不安全的。
通过电子邮件发送站点调试信息总是会带来一些信息泄露的风险,但这似乎是一个重大的遗漏,可以通过扩展过滤来解决,或许可以通过某些设置来控制。
有没有人已经为他们的部署修补了这个(大概是在 django/views/debug.py 中扩展了过滤)和/或向 django 团队提交了补丁?还是我错过了其他一些明显的方法来解决这个问题?
最佳答案
好的,在我之前的检查中错过了这个,但显然 django 团队大约在 6 年前记录了这个错误并将其关闭为不会修复:
https://code.djangoproject.com/ticket/7472
我会和他们一起解决这个问题,因为我相信 django 在此期间在安全方面取得了实质性进展,现在可能想要并有一些简单的方法来解决这个问题。 :)
与此同时,如果您使用此向管理员发送电子邮件的功能,请注意风险。如果您发送这些电子邮件,那么我强烈建议您将所有 secret /密码/ key /证书/等保留或放置在 python 配置文件中,并确保您正在清理传递给您的 django 网络服务的 (unix) 环境。
关于python - Django 报错邮件 : env vars leak info,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27411362/
我想在文本区域中向许多其他用户发送电子邮件。在名为内容的文本区域中,如果我键入星号包围的“用户”,我想让它们填写每个电子邮件的用户名(“@”之前的文本)。每封电子邮件中的每个用户名都会产生很多不同。然
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: Problem when loading php file into variable (Load resu
我正在从数据库中提取信息,并尝试将其作为电子邮件发送。将从数据库中拉取多行数据。这就是我的代码的样子... 所有的信息邮件都很好。我的问题是,我想保留中断。例如,在标题之后,我想中断一下,然后开始备
当我使用我们使用 java 邮件的门户发送 TEXT 电子邮件时没有问题,但是,当我选择放置 HTML 内容并发送电子邮件时,会引发以下警报。花了几个小时搜索但没有有用的答案! 谁能帮忙 电子邮件主题
我有这个类,它处理 gmail 的登录。无论我输入什么电子邮件和密码,程序都会返回 session 。我不明白如何在返回 session 对象之前检查登录是否成功。 package mailActio
我设置的短信作为文本文件附在信中。我不明白为什么会这样。 replied letter example public void sendEmail(MimeMessage message, Strin
所以我正在制作一个网络系统,这个想法是当用户关闭浏览器时它会向我发送一封电子邮件。目前,用户正在使用 Javascript Ajax 来让 PHP 更新数据库的当前时间。当时间超过 5 分钟时,我希望
我想发送邮件,当产品从之前、日期和之后过期时,在 php 中,我在 php 中使用了 datediff mysql 函数,但如果产品过期日期类似于 31-1-2012 ,则不同值是不适合我的编码,请帮
我正在尝试设置一个邮件脚本,该脚本将首先从 mysql 运行一个简单的选择,并在消息中使用这些数组变量。然而,所有的变量并没有输出到消息体,只有一行变量。这是我的脚本: $sql1 = "SE
我最近一直在努力研究这个问题。是否有我可以使用并添加到其中的 android API?我想为电子邮件应用程序制作一个插件,但我不想制作整个电子邮件应用程序。 我非常想要一些已经可以处理发送和接收电子邮
嗨 我有一个 PHP 西类牙文网站。在此邮件正文中包含一个主题“Solicitud de cotización”,但该主题出现在热门邮箱中,如 Solicitud de cotización 。但它在
我想写一个脚本,使用 php 自动向我的客户发送电子邮件 我如何自动发送它,例如,如果他们输入他们的电子邮件。然后点击提交 我想自动发送这封邮件 其次,我的主机上是否需要 smtp 服务器?我可以在任
今天早上我已经解决了一个问题: Java Mail, sending multiple attachments not working 这次我遇到了一个稍微复杂一点的问题:我想将附件和图片结合起来。
下面是用于连接 IMAP 文件夹并对其执行操作的代码。所以我的问题是关于 javax.mail.Session 的,在这种情况下它会每秒重新创建一次(取决于 checkInbox() 的 hibern
我正尝试按照 http://www.tutorialspoint.com/java/java_sending_email.htm 上的指南发送电子邮件 Java 应用程序 当我尝试运行它时,从上面的链
我有一个包含 2 列 email 和 id 的表格。我需要找到密切相关的电子邮件。例如: john.smith12@example.com 和 john.smith12@some.subdomains
首先是一些信息: Debian 压缩 PHP 5.3.3 带有 mod_cgi 的 PHP 在这种情况下,我绝对必须使用 mail()。对于我所有的其他项目,我已经使用 SMTP 邮件。 我已将站点超
在对电子邮件主机的联系表单进行故障排除时,他们告诉我在 php 邮件功能的发件人地址中使用“-f”。 “-f”标志的作用是什么?为什么它可以解决允许发送电子邮件的问题?我阅读了一些文档,但不是很清楚。
一个简单的问题:群发邮件哪个性能好? mail() 函数或sendmail 流行的 PHP 列表管理器包使用哪个? 最佳答案 嗯,mail() 函数并不适合批量发送电子邮件,因为它会为您发送的每封
我正在制作一个 PHP 表单,允许用户上传附件并将其发送到我的电子邮件。我一直在寻找很长一段时间才能做到。最后,我找到了这个。 http://www.shotdev.com/php/php-mail/
我是一名优秀的程序员,十分优秀!