В моем приложении Django следующие настройки гарантируют, что в заголовках ответов включены стандартные пары ключ-значение.
Однако информация об имени и версии сервера по-прежнему отображается по умолчанию, и ее необходимо скрыть (незащищенные имя и версия сервера являются уязвимостью OW ASP).
middleware.py
class MyAppMiddleware:
def __init__(self, get_response):
self.get_response = get_response
def __call__(self, request):
response = self.get_response(request)
response['X-XSS-Protection'] = "1; mode=block"
return response
class RemoveHeaders(object): # this method invocation throws error
def process_response(self, request, response):
response['Server'] = ''
return response
Также, как предлагается в других сообщениях, этот middleware.py объявлен в первом порядке промежуточного программного обеспечения в settings.py:
MIDDLEWARE = [
'MyApp.middleware.RemoveHeaders',
'MyApp.middleware.MyAppMiddleware',
'django.middleware.security.SecurityMiddleware',
'django.contrib.sessions.middleware.SessionMiddleware',
'django.middleware.common.CommonMiddleware',
'django.middleware.csrf.CsrfViewMiddleware',
'django.contrib.auth.middleware.AuthenticationMiddleware',
'django.contrib.messages.middleware.MessageMiddleware',
'django.middleware.clickjacking.XFrameOptionsMiddleware',
]
Метод RemoveHeaders () выдает ошибку: TypeError: RemoveHeaders () не принимает аргументов. Это потому, что я не уверен, какой объект передается этому методу.
Обновление: импорт следующего работал для меня.
from django.utils.deprecation import MiddlewareMixin
# class to import in RemoveHeaders--
class RemoveHeaders(MiddlewareMixin):
# rest of the code