一、配置级

DEBUG=False、ALLOWED_HOSTS 正确配置。

强制HTTPS、HSTS、SECURE_*系列开关打开。

CSRF/Session Cookie 设为 Secure 与 HttpOnly。

二、输入验证与输出转义

表单与序列化器校验；对富文本存储做白名单过滤。

模板默认转义；对 URL 拼接与重定向做安全检查。

三、权限与对象级控制

管理端与用户端接口隔离；对象级权限判断前置。

密码学：散列方案、盐、密码强度策略。

四、审计与告警

登录失败、权限拒绝、关键模型变更写审计。

异常监控、速率限制与 IP 黑白名单。

安全是持续过程，我把这份清单贴在项目 README 与运维 Runbook，团队还把它同步到了 gplpal 的知识卡片里。