Comment forcer l'utilisation de SSL pour certaines URL de mon application Django?

Je veux être sûr que, pour certaines URL de mon site web, SSL sera utilisé.
J'ai vu beaucoup de réponse déjà sur DONC.

La Force de rediriger le SSL pour toutes les pages à l'exception d'une

Donc je pense que je vais utiliser mod_rewrite.

Ma question est plus sur la façon de configurer le Hôte Virtuel mon Application Django sur HTTP et plus HTTPS sans problèmes. Je suis à l'aide de WSGI.

Est-ce un problème de simplement dupliquer la configuration sur *:443 et plus *:80?
Que dois-je faire pour avoir la meilleure configuration?

source d'informationauteur Natim | 2009-10-10

  1. 11

    Si par WSGI vous fait dire Apache/mod_wsgi, alors, bien que monté WSGI applications normalement se faire dans leur propre sous-interprètes, la 80/443 split est un cas particulier et même si dans différents VirtualHost tant que point de montage pour WSGIScriptAlias, et le serveur sont les mêmes, ils seront fusionnés.

    <VirtualHost *:80>
ServerName www.example.com

WSGIScriptAlias //some/path/django.wsgi.
</VirtualHost>

<VirtualHost *:443>
ServerName www.example.com

WSGIScriptAlias //some/path/django.wsgi.
</VirtualHost>

    Ce sera le cas pour le mode démon, mais avec daemon mode, vous devez définir qu'un seul démon groupe de processus au premier VirtualHost définition et puis il suffit de se référer à qui de la fois avec WSGIProcessGroup.

    <VirtualHost *:80>
ServerName www.example.com

WSGIDaemonProcess mydjangosite ...
WSGIProcessGroup mydjangosite

WSGIScriptAlias //some/path/django.wsgi.
</VirtualHost>

<VirtualHost *:444>
ServerName www.example.com

WSGIProcessGroup mydjangosite

WSGIScriptAlias //some/path/django.wsgi.
</VirtualHost>

    La WSGIProcessGroup ne peut atteindre à travers comme à VirtualHost pour le même ServerName.

    Django fournit un is_secure() méthode pour déterminer si une demande est faite via le protocole HTTPS qui dérive de WSGI variable avec la demande de l'appelé " wsgi.url_scheme", qui est défini par mod_wsgi.

    Donc, vous auriez un seul Django WSGI fichier de script et le fichier de paramètres. Vous avez juste besoin de dupliquer l'application de montage de decsribed Apache/mod_wsgi de configuration.

  2. 10

    Outre l'utilisation de mod_rewrite, vous pouvez également utiliser Django pour contrôler le SSL redirections.

    Voici une version modifiée d'un middleware de la Satchmo Projet. J'ai tendance à aimer cette méthode mieux que mod_rewrite car il est plus facile à gérer.

    Pour l'utiliser, pass 'SSL':True dans votre url de la conf:

    
    urlpatterns = patterns('some_site.some_app.views',
        (r'^test/secure/$','test_secure',{'SSL':True}),
    )

    Voici le middleware code:

    
from django.conf import settings
from django.http import HttpResponseRedirect, get_host
SSL = 'SSL'
def request_is_secure(request):
if request.is_secure():
return True
# Handle forwarded SSL (used at Webfaction)
if 'HTTP_X_FORWARDED_SSL' in request.META:
return request.META['HTTP_X_FORWARDED_SSL'] == 'on'
if 'HTTP_X_SSL_REQUEST' in request.META:
return request.META['HTTP_X_SSL_REQUEST'] == '1'
return False
class SSLRedirect:
def process_request(self, request):
if request_is_secure(request):
request.IS_SECURE=True
return None
def process_view(self, request, view_func, view_args, view_kwargs):          
if SSL in view_kwargs:
secure = view_kwargs[SSL]
del view_kwargs[SSL]
else:
secure = False
if settings.DEBUG:
return None
if getattr(settings, "TESTMODE", False):
return None
if not secure == request_is_secure(request):
return self._redirect(request, secure)
def _redirect(self, request, secure):
if settings.DEBUG and request.method == 'POST':
raise RuntimeError(
"""Django can't perform a SSL redirect while maintaining POST data.
Please structure your views so that redirects only occur during GETs.""")
protocol = secure and "https" or "http"
newurl = "%s://%s%s" % (protocol,get_host(request),request.get_full_path())
return HttpResponseRedirect(newurl)
  3. 3

    Voici un point de vue décorateur que vous pouvez appliquer à la vue qui devrait avoir HTTPS.

    from functools import wraps
from django.conf import settings
from django.http import HttpResponseRedirect
def require_https(view):
"""A view decorator that redirects to HTTPS if this view is requested
over HTTP. Allows HTTP when DEBUG is on and during unit tests.
"""
@wraps(view)
def view_or_redirect(request, *args, **kwargs):
if not request.is_secure():
# Just load the view on a devserver or in the testing environment.
if settings.DEBUG or request.META['SERVER_NAME'] == "testserver":
return view(request, *args, **kwargs)
else:
# Redirect to HTTPS.
request_url = request.build_absolute_uri(request.get_full_path())
secure_url = request_url.replace('http://', 'https://')
return HttpResponseRedirect(secure_url)
else:
# It's HTTPS, so load the view.
return view(request, *args, **kwargs)
return view_or_redirect
  4. 0

    Nous avons utilisé une simple middleware pour vérifier les url dans une liste de base des url qui doit être en mode HTTPS, tous les autres sont obligés de mode HTTP. Le gros inconvénient ici est que tout publier des données peuvent être perdues, sauf si vous prenez des précautions supplémentaires (il n'a pas d'importance dans notre cas). Nous faisions cela sur les pages que nécessaire numéros de carte de crédit et assimilés, de sorte que dès qu'ils étaient dans ce pipeline, nous contraint à HTTPS.