À quoi sert la variable SECURE_SSL_REDIRECT ?

Elle permet de rediriger automatiquement toutes les requêtes HTTP non sécurisées vers la version HTTPS de votre site, garantissant ainsi le chiffrement des échanges.

Pourquoi activer SESSION_COOKIE_SECURE ?

Cette option garantit que le cookie de session n'est envoyé que via une connexion HTTPS, empêchant ainsi son interception sur des réseaux non sécurisés.

C'est quoi le HSTS dans Django ?

Le HSTS (HTTP Strict Transport Security) est un en-tête qui indique au navigateur de ne communiquer avec votre site qu'en utilisant exclusivement le protocole HTTPS.

Comment vérifier si ma configuration de production est correcte ?

Vous devez utiliser la commande python manage.py check --deploy qui effectue un audit complet de vos fichiers de réglages pour détecter les failles potentielles.

Faut-il activer ces réglages en développement ?

Non, car ils nécessitent un certificat SSL valide pour fonctionner. Si vous les activez localement sans HTTPS, vous risquez de ne plus pouvoir accéder à votre propre site de test.

Configuration de production Django : Sécurité et réglages finaux

OUJOOD.COM

Avoir un site qui fonctionne en ligne est une chose, avoir un site sécurisé en est une autre. Une fois que votre serveur est prêt, vous devez ajuster quelques réglages dans votre fichier settings.py pour activer les protections avancées de Django. Ces options sont souvent désactivées en développement car elles compliquent les tests, mais elles sont obligatoires pour la production.

Forcer le HTTPS

Aujourd'hui, le SSL (HTTPS) n'est plus une option. Si votre site n'est pas chiffré, les navigateurs afficheront une alerte de sécurité. Django peut vous aider à forcer cette connexion sécurisée. Je vous conseille d'activer ces variables pour rediriger automatiquement tout le trafic HTTP vers HTTPS.

📋 Copier le code

SECURE_SSL_REDIRECT = True
SECURE_HSTS_SECONDS = 31536000 # Force le HTTPS pendant 1 an
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True

Sécuriser les cookies de session

Par défaut, les cookies de Django peuvent être envoyés via une connexion non sécurisée. C'est un risque de vol de session. En activant les options suivantes, vous garantissez que les cookies ne circulent que sur du HTTPS et qu'ils ne sont pas accessibles via JavaScript. C'est une barrière efficace contre les attaques de type XSS.

📋 Copier le code

SESSION_COOKIE_SECURE = True
CSRF_COOKIE_SECURE = True
SECURE_BROWSER_XSS_FILTER = True
SECURE_CONTENT_TYPE_NOSNIFF = True

Vérifier la configuration avec check --deploy

Django possède un outil d'audit intégré. Avant de considérer que votre travail est terminé, lancez cette commande dans votre terminal. Elle va scanner vos réglages et vous signaler tout oubli qui pourrait mettre en péril votre application. C'est le juge de paix du développeur.

📋 Copier le code

python manage.py check --deploy

Si vous obtenez un message vert, félicitations : votre application est parée pour le web. Pour mettre en pratique tout ce que nous avons appris, nous allons maintenant passer à la réalisation d'un projet Django : blog complet.

Par carabde | Mis à jour le 09/05/2026

Déployer Django sur un VPS

Sommaire

Projet Django : blog complet