React + Django的最佳安全实践

Question

我目前正在开发一个使用Django服务器和运行React的NodeJS服务器的项目。在开发过程中，我们在端口8000上运行Django，在端口8080上运行NodeJS，目前React负责呈现页面并与Django API交互，Django API为React提供数据。为了响应对Django API的调用，我们启用了Django中的CORS，因为它们位于不同的端口上。

我的问题如下：

1. 允许所有CORS在生产中安全吗？
2. 如果Django不使用模板系统，站点是否仍然受到默认的CSRF的保护？如果没有，如何在这样的设置(React+Django)中预防CSRF？

Answer 1

1. 是的，如果允许CORS用于正确的源域，那么在生产中使用CORS是安全的。例如，如果您使用的是django-cors-headers，请使用CORS_ORIGIN_ALLOW_ALL=False和一组用于CORS_ORIGIN_WHITELIST的域。
2. 正如answers to this question解释的那样，如果使用SessionAuthentication，则DRF使用CSRF令牌。但是，如果使用其他身份验证机制(例如，令牌身份验证或JWT)，则客户端浏览器也会保护您，而不允许来自不受信任来源的不安全请求，即不在您的CORS_ORIGIN_WHITELIST中。有关CORS与CSRF令牌的安全性，请参见answers to this question，以防止CSRF。