：setting： `SECRET_KEY`

秘密鍵は大きなランダムな値である必要があり、秘密にしておく必要があります。

本番環境で使用されているキーが他の場所で使用されていないことを確認し、ソース管理にコミットしないようにしてください。 これにより、攻撃者がキーを取得する可能性のあるベクターの数が減ります。

設定モジュールに秘密鍵をハードコーディングする代わりに、環境変数から秘密鍵をロードすることを検討してください。

import os
SECRET_KEY = os.environ['SECRET_KEY']

またはファイルから：

with open('/etc/secret_key.txt') as f:
    SECRET_KEY = f.read().strip()

：setting： `DEBUG`

本番環境ではデバッグを有効にしないでください。

あなたは確かにあなたのプロジェクトを開発しています ：setting： `DEBUG = True ` 、これにより、ブラウザで完全なトレースバックなどの便利な機能が有効になるためです。

ただし、実稼働環境の場合、これはプロジェクトに関する多くの情報（ソースコードの抜粋、ローカル変数、設定、使用されるライブラリなど）をリークするため、非常に悪い考えです。

：setting： `ALLOWED_HOSTS`

いつ ：setting： `DEBUG = False ` 、Djangoは、適切な値がないとまったく機能しません ：setting： `ALLOWED_HOSTS` 。

この設定は、一部のCSRF攻撃からサイトを保護するために必要です。 ワイルドカードを使用する場合は、Host HTTPヘッダーの独自の検証を実行するか、このカテゴリの攻撃に対して脆弱でないことを確認する必要があります。

また、ホストを検証するために、Djangoの前にあるWebサーバーを構成する必要があります。 リクエストをDjangoに転送する代わりに、静的エラーページで応答するか、不正なホストのリクエストを無視する必要があります。 このようにして、Djangoログ（またはエラーレポートがそのように構成されている場合は電子メール）での誤ったエラーを回避できます。 たとえば、nginxでは、認識されないホストで「444NoResponse」を返すようにデフォルトのサーバーを設定できます。

server {
    listen 80 default_server;
    return 444;
}

：setting： `CACHES`

キャッシュを使用している場合、接続パラメーターは開発と本番で異なる場合があります。 Djangoはデフォルトでプロセスごとのローカルメモリキャッシングに設定されていますが、これは望ましくない場合があります。

キャッシュサーバーの認証は弱いことがよくあります。 アプリケーションサーバーからの接続のみを受け入れるようにしてください。

：setting： `データベース`

データベース接続パラメータは、おそらく開発と本番で異なります。

データベースのパスワードは非常に機密性が高くなります。 ：setting： `SECRET_KEY` とまったく同じように保護する必要があります。

最大限のセキュリティを確保するために、データベースサーバーがアプリケーションサーバーからの接続のみを受け入れるようにしてください。

データベースのバックアップをまだ設定していない場合は、今すぐ設定してください。

：setting： `EMAIL_BACKEND` および関連する設定

サイトがメールを送信する場合は、これらの値を正しく設定する必要があります。

デフォルトでは、Djangoは webmaster @ localhost および root @ localhost からメールを送信します。 ただし、一部のメールプロバイダーは、これらのアドレスからの電子メールを拒否します。 異なる送信者アドレスを使用するには、：setting： `DEFAULT_FROM_EMAIL` および：setting：` SERVER_EMAIL` の設定を変更します。

：setting： `STATIC_ROOT` および：setting：` STATIC_URL`

静的ファイルは、開発サーバーによって自動的に提供されます。 本番環境では、：setting： `STATIC_ROOT` ディレクトリを定義する必要があります。このディレクトリに：djadmin：` collectstatic` がコピーされます。

見る静的ファイルの管理（例： 画像、JavaScript、CSS） 詳細については。

：setting： `MEDIA_ROOT` および：setting：` MEDIA_URL`

メディアファイルはユーザーによってアップロードされます。 彼らは信頼されていません！ Webサーバーがそれらを解釈しようとしないようにしてください。 たとえば、ユーザーが.phpファイルをアップロードした場合、Webサーバーはそれを実行しないでください。

今こそ、これらのファイルのバックアップ戦略を確認する良い機会です。

：setting： `CSRF_COOKIE_SECURE`

これをTrueに設定して、誤ってHTTP経由でCSRFCookieを送信しないようにします。

：setting： `SESSION_COOKIE_SECURE`

これをTrueに設定して、HTTPを介してセッションCookieを誤って送信しないようにします。

セッション

パフォーマンスを向上させるために、キャッシュセッションの使用を検討してください。

データベースに基づくセッションを使用する場合は、不要なデータが保存されないように、定期的に古いセッションをクリアしてください。

：setting： `CONN_MAX_AGE`

永続的なデータベース接続を有効にすると、リクエスト処理時間のかなりの部分をデータベースアカウントに接続するときに、優れたスピードアップが得られます。

これは、ネットワークパフォーマンスが制限されている仮想化ホストで大いに役立ちます。

：setting： `TEMPLATES`

キャッシュされたテンプレートローダーを有効にすると、レンダリングが必要になるたびに各テンプレートをコンパイルする必要がなくなるため、パフォーマンスが大幅に向上することがよくあります。 詳細については、テンプレートローダーのドキュメントを参照してください。

：setting： `LOGGING`

Webサイトを本番環境に移行する前にログ設定を確認し、トラフィックを受信したらすぐに期待どおりに機能することを確認してください。

ロギングの詳細については、ロギングを参照してください。

：setting： `ADMINS` および：setting：` MANAGERS`

：setting： `ADMINS` には500件のエラーがメールで通知されます。

：setting： `MANAGERS` には404エラーが通知されます。 ：setting： `IGNORABLE_404_URLS` は、偽のレポートを除外するのに役立ちます。

電子メールによるエラー報告の詳細については、エラー報告を参照してください。

デフォルトのエラービューをカスタマイズする

Djangoには、いくつかのHTTPエラーコードのデフォルトのビューとテンプレートが含まれています。 ルートテンプレートディレクトリに404.html、500.html、403.html、および400.htmlのテンプレートを作成して、デフォルトのテンプレートを上書きすることもできます。 これらのテンプレートを使用するデフォルトのエラービューは、99 % o f Webアプリケーションには十分ですが、カスタマイズすることもできます。