Безопастность сайта

2026-02-25 04:04:41 +03:00 · 2026-02-25 04:04:41 +03:00 · 43768eb061
commit 43768eb061
parent df831a747e
1 changed files with 23 additions and 22 deletions
--- a/OneCprogsite/settings.py
+++ b/OneCprogsite/settings.py
@ -31,19 +31,6 @@ sys.path.insert(0, str(BASE_DIR / "OneCprogsite"))  # Добавляем пап
 # SECURITY WARNING: keep the secret key used in production secret!
 SECRET_KEY = os.getenv('DJANGO_SECRET_KEY')

-# Безопасность cookies для HTTPS
-# SESSION_COOKIE_SECURE = True
-# CSRF_COOKIE_SECURE = True
-# SESSION_COOKIE_HTTPONLY = True
-# CSRF_COOKIE_HTTPONLY = False  # Django требует доступ к CSRF cookie через JS
-# SESSION_COOKIE_SAMESITE = 'Lax'
-# CSRF_COOKIE_SAMESITE = 'Lax'
-
-# Если используете другие cookies
-# LANGUAGE_COOKIE_SECURE = True
-# LANGUAGE_COOKIE_HTTPONLY = True
-# LANGUAGE_COOKIE_SAMESITE = 'Lax'
-
 # Для разработки (HTTP)
 SESSION_COOKIE_SECURE = False
 CSRF_COOKIE_SECURE = False
@ -59,15 +46,29 @@ X_FRAME_OPTIONS = 'ALLOW-FROM https://metrika.yandex.ru'
 ALLOWED_HOSTS = os.getenv('DJANGO_ALLOWED_HOSTS', 'localhost,127.0.0.1').split(',')

 # Важно для работы за прокси
-# SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
-# SECURE_SSL_REDIRECT = True
-#
-# # Дополнительная безопасность
-# SECURE_BROWSER_XSS_FILTER = True
-# SECURE_CONTENT_TYPE_NOSNIFF = True
-# SECURE_HSTS_SECONDS = 31536000
-# SECURE_HSTS_INCLUDE_SUBDOMAINS = True
-# SECURE_HSTS_PRELOAD = True
+if not DEBUG:
+    SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
+    SECURE_SSL_REDIRECT = True
+
+    # Дополнительная безопасность
+    SECURE_BROWSER_XSS_FILTER = True
+    SECURE_CONTENT_TYPE_NOSNIFF = True
+    SECURE_HSTS_SECONDS = 31536000
+    SECURE_HSTS_INCLUDE_SUBDOMAINS = True
+    SECURE_HSTS_PRELOAD = True
+
+    # Безопасность cookies для HTTPS
+    SESSION_COOKIE_SECURE = True
+    CSRF_COOKIE_SECURE = True
+    SESSION_COOKIE_HTTPONLY = True
+    CSRF_COOKIE_HTTPONLY = False  # Django требует доступ к CSRF cookie через JS
+    SESSION_COOKIE_SAMESITE = 'Lax'
+    CSRF_COOKIE_SAMESITE = 'Lax'
+
+    # Если используете другие cookies
+    LANGUAGE_COOKIE_SECURE = True
+    LANGUAGE_COOKIE_HTTPONLY = True
+    LANGUAGE_COOKIE_SAMESITE = 'Lax'

 CSRF_TRUSTED_ORIGINS = [
    'https://nikdizell.ru',