Django 如何设置 Django allowed_hosts

在本文中，我们将介绍如何设置 Django 的 allowed_hosts 参数。

阅读更多：Django 教程

什么是 allowed_hosts？

allowed_hosts 参数是用于设置 Django 的域名白名单的。当 Django 接收到一个请求时，会根据这个参数来判断请求是否来自被信任的域名。如果请求的域名不在 allowed_hosts 列表中，Django 将拒绝该请求，以保证网站的安全性。

配置 allowed_hosts

要配置 allowed_hosts 参数，我们需要在 Django 项目的设置文件中进行修改。打开项目的 settings.py 文件，找到 ALLOWED_HOSTS 这一行。

默认情况下，settings.py 文件中的 ALLOWED_HOSTS 参数是空的，表示允许所有的请求。但这并不是一个安全的配置，因为它打开了网站受到 DNS 反向解析攻击的风险。

通常情况下，我们应该将 ALLOWED_HOSTS 参数设置为一个列表，包含允许访问网站的域名或 IP 地址。下面是一个例子：

ALLOWED_HOSTS = ['example.com', 'www.example.com', '192.168.1.100']

在这个例子中，我们允许来自 example.com、www.example.com 和 192.168.1.100 这三个域名（或 IP 地址）的请求访问网站。

如果没有特殊要求，我们还可以使用通配符来表示所有的子域名。例如，下面这个配置将允许任何以 .example.com 结尾的域名访问网站：

ALLOWED_HOSTS = ['.example.com']

注意，ALLOWED_HOSTS 参数中的域名不需要带上协议（如 http:// 或 https://），并且不区分大小写。

添加域名到 allowed_hosts

在实际应用中，我们可能需要动态地将新的域名添加到 ALLOWED_HOSTS 参数中。下面是一个示例，演示如何利用 Django 的信号量机制在域名被访问时自动添加到 ALLOWED_HOSTS 列表中：

from django.core.signals import request_started
from django.dispatch import receiver
from django.conf import settings

@receiver(request_started)
def add_current_host(sender, **kwargs):
    request = kwargs['request']
    host = request.get_host()
    if host not in settings.ALLOWED_HOSTS:
        settings.ALLOWED_HOSTS.append(host)

在这个示例中，我们定义了一个信号量接收器，当每次请求开始时，自动获取当前请求的域名，并将其添加到 ALLOWED_HOSTS 列表中。

这样一来，当有新的域名发送请求时，该域名会自动被添加到 ALLOWED_HOSTS 中，无需手动修改配置文件。

检查 allowed_hosts 配置是否生效

要确保我们的 allowed_hosts 配置正确生效，我们可以在 Django 的调试模式下进行测试。

首先，设置 DEBUG 参数为 False，这样 Django 将在生产环境中运行。然后，将 ALLOWED_HOSTS 设置为我们指定的域名白名单。

接下来，打开浏览器，输入我们允许的域名或 IP 地址，访问我们的网站。如果一切正常，我们将能够正常访问网站。

如果我们尝试访问不在 allowed_hosts 列表中的域名，Django 将返回一个 HTTP 400 Bad Request 的错误页面。

总结

本文介绍了如何设置 Django 的 allowed_hosts 参数，以保证网站的安全性。通过配置 allowed_hosts 参数，我们可以控制允许访问网站的域名或 IP 地址，并防止恶意请求。

在实际应用中，我们可以通过修改项目的 settings.py 文件来配置 allowed_hosts 参数，或者利用 Django 的信号量机制实现动态添加域名到 allowed_hosts 列表中的功能。

通过检查 allowed_hosts 配置是否生效，我们可以确保配置的正确性。在生产环境中，正确配置 allowed_hosts 参数非常重要，以防止安全漏洞和攻击。