Python - Django 文档说这是一种不安全的提供静态文件的方式 - 这是真的吗？如果是，怎么会这样？

Question

我遵循这种方式传递静态文件，但根据免责声明在顶部，它既不安全又低效。这是真的吗？我应该怎么做呢？

另外，还有一个半题外话的问题：术语“媒体”和“静态文件”在网络编程的上下文中可以互换吗？我看到它们经常被扔来扔去，而且它们似乎指的是同一件事。

Answer 1

它既不安全又低效。这是真的吗？

当然。你认为他们为什么这么说？

我应该如何做呢？

这就是阿帕奇的用途。或者 Ngingx 或 lighttpd 或任何大量其他 Web 服务器。

术语“媒体”和“静态文件”在网络编程中可以互换吗？

通常。

Django 1.3 确实区分了“媒体”和静态文件，“媒体”是上传和下载的内容，静态文件是静态的。

Answer 2

同意 S.Lott 的回答，但是当您质疑这是一种不安全的提供静态文件的方式，是真的吗？

我想有必要解释一下原因。

为什么从 django 提供静态文件不安全的答案解释了原因。此处引用：

除非针对安全性进行设计和审核，否则任何事物都不能被认为是安全的。我们没有对静态文件服务器进行任何操作。它可能不存在现有的安全漏洞，但不应将其视为安全的，因为这不是设计目标。

例如，安全文件服务器需要检查资源分配问题，以便提供非常大的文件不会构成拒绝服务攻击。这需要大量额外的代码和管道管理，不值得将其放入仅用于开发目的的东西中。