@צבי-ש כתב בנסיון פריצה לשרת שלי?:
לגבי הפרויקט שלך, האופציה הבסיסית לאבטח זה שיצטרכו טוקן כלשהוא כדי לגשת / לערוך / לשלוח מידע, ובלי הטוקן או אם הוא לא תקין, אתה מחזיר שגיאה, ולא מבצע שום פעולות,
פה אתה יכול לעשות סתם טוקן (גיבריש כלשהוא של אותיות , ספרות, ותווים) או משהו מסודר יותר עם יוזרים שניגשים, ולכל אחד טוקן שונה, כדי שתוכל לעקוב מי ביקש מה וכו׳
אם זה צריך להיות פתוח לכולם ללא טוקן (למשל סתם אתר או משהו בסגנון) אתה חייב לאבטח שלא יוכלו להגיע משם למידע שאתה לא רוצה להגיש , (לחסום אינדקסים מיותרים, ולמשל אם אתה מכניס מידע, לבדוק טוב שלא יזריקו לך מידע שאתה לא רוצה פנימה.)
במחשבה שניה, גם אם אתה מנהל יוזרים וכו׳ אתה צריך לחסום אופציה להזריק או להכניס נתונים שאתה לא מעוניין בהם..
@דאטה-בייס כתב שמדובר בdjango, זה סיפור שונה לחלוטין.
מדובר בפריימוורק מקיף ואיכותי שדואג לכל ענייני האבטחה כברירת מחדל ככה שחוץ מכמה נקודות שצריך לזכור (בעיקר לא להשבית במפורש הגנות) אתה די מוגן.
כדאי לעבור על זה: https://docs.djangoproject.com/en/4.2/topics/security
מעבר לזה צריך לחסום בחומת האש כל תעבורה נכנסת, ולפתוח רק את הפורט של האתר (80 או 443, אם אתה רוצה להיות ממש רגוע אז רק 443 או להפעיל HSTS בreverse proxy בשרת שלך, מה שלא יאפשר להשתמש באתר בשום אופן בלי HTTPS)
