現場で使える Django のセキュリティ対策 / Django security measures for business (DjangoCon JP 2019)

○ 発表タイトル 現場で使える Django のセキュリティ対策 ○ 発表内容 待望のバージョン2系の LTS がリリースされ、ますます現場で Django が盛り上がることが予想されますが、導入検討の際にネックになるものの一つに「セキュリティ」への懸念があります。 Django にはデフォルトでセキュリティ対策も含まれていますが、そのあたりの理解が中途半端だと、リリースした Webアプリが攻撃者の格好の餌食になってしまいかねません。そうならないためにも、Django のセキュリティ事情については開発前から（もちろん開発中でも）きちんと把握しておきたいところです。 そこでまず、Django におけるセキュリティ対策の基礎について概観します。そして CSRF などの重要な（そして重要な割にあまりよく理解されていない）ものについては、「CSRF（しーさーふ）って何？」というレベルの人にも分かる

[nilab]

「Django におけるセキュリティ対策の基礎について概観」「重要な（そして重要な割にあまりよく理解されていない）ものについては、「CSRF（しーさーふ）って何？」というレベルの人にも分かるように基本から解説」

[ockeghem]

大体良いけど、P34「Cookie に Secure 属性を付与する（ただし、本番環境 を常時SSL にすればほぼ問題なし）」は間違い。常時SSLでもSecure属性は必要