La seguridad es un aspecto crucial en el desarrollo de aplicaciones web. Django, como framework, proporciona varias herramientas y configuraciones para ayudar a los desarrolladores a construir aplicaciones seguras. En esta sección, exploraremos las mejores prácticas de seguridad que debes seguir al desarrollar aplicaciones con Django.

• Descripción: La configuración DEBUG debe estar desactivada (False) en producción.
• Razón: Cuando DEBUG está activado (True), Django muestra información detallada sobre errores, lo cual puede ser explotado por atacantes.
• Ejemplo:

  # settings.py
  DEBUG = False
  

• Descripción: Define una lista de dominios/IPs que pueden servir tu aplicación.
• Razón: Esto previene ataques de tipo HTTP Host header.
• Ejemplo:

  # settings.py
  ALLOWED_HOSTS = ['tu-dominio.com', 'www.tu-dominio.com']
  

• Descripción: Asegúrate de que SECRET_KEY sea único y manténlo en secreto.
• Razón: SECRET_KEY se utiliza para varias operaciones criptográficas en Django.
• Ejemplo:

  # settings.py
  SECRET_KEY = 'tu-clave-secreta-unica'
  

• Descripción: Django automáticamente escapa las variables en plantillas para prevenir XSS.
• Consejo: Usa el filtro safe con precaución.
• Ejemplo:

  <!-- Evitar -->
  {{ user_input|safe }}
  

• Descripción: Django incluye protección CSRF por defecto.
• Consejo: Asegúrate de incluir el token CSRF en tus formularios.
• Ejemplo:

  <form method="post">
      {% csrf_token %}
      <!-- campos del formulario -->
  </form>
  

• Descripción: Django ORM previene inyecciones SQL al usar consultas parametrizadas.
• Consejo: Evita concatenar cadenas para construir consultas SQL.
• Ejemplo:

  # Evitar
  cursor.execute("SELECT * FROM my_table WHERE id = %s" % id)
  
  # Usar
  cursor.execute("SELECT * FROM my_table WHERE id = %s", [id])
  

• Descripción: Configura las cookies para ser seguras y accesibles solo a través de HTTPS.
• Ejemplo:

  # settings.py
  SESSION_COOKIE_SECURE = True
  CSRF_COOKIE_SECURE = True
  

• Descripción: Usa la cabecera HTTP Content-Security-Policy para prevenir ataques XSS.
• Ejemplo:

  # settings.py
  SECURE_CONTENT_TYPE_NOSNIFF = True
  

• Descripción: Fuerza el uso de HTTPS.
• Ejemplo:

  # settings.py
  SECURE_SSL_REDIRECT = True
  

• Descripción: Configura políticas de contraseñas seguras.
• Ejemplo:

  # settings.py
  AUTH_PASSWORD_VALIDATORS = [
      {
          'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator',
      },
      {
          'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator',
          'OPTIONS': {
              'min_length': 8,
          }
      },
      {
          'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator',
      },
      {
          'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator',
      },
  ]
  

• Descripción: Implementa 2FA para mayor seguridad.
• Consejo: Usa bibliotecas como django-otp o servicios externos.

• Descripción: Configura el registro de actividades para monitorear eventos de seguridad.
• Ejemplo:

  # settings.py
  LOGGING = {
      'version': 1,
      'disable_existing_loggers': False,
      'handlers': {
          'file': {
              'level': 'DEBUG',
              'class': 'logging.FileHandler',
              'filename': '/path/to/django/debug.log',
          },
      },
      'loggers': {
          'django': {
              'handlers': ['file'],
              'level': 'DEBUG',
              'propagate': True,
          },
      },
  }
  

• Descripción: Mantén Django y sus dependencias actualizadas.
• Consejo: Suscríbete a las listas de correo de seguridad de Django para estar al tanto de nuevas vulnerabilidades.

La seguridad es un proceso continuo y debe ser una prioridad en cada etapa del desarrollo de tu aplicación Django. Siguiendo estas mejores prácticas, puedes reducir significativamente el riesgo de vulnerabilidades y proteger mejor los datos de tus usuarios. En el próximo tema, aprenderemos sobre el uso de Docker con Django para mejorar la portabilidad y el despliegue de nuestras aplicaciones.