Αναφορά σφαλμάτων

Όταν έχετε στον αέρα την ιστοσελίδα σας θα πρέπει να έχετε πάντα απενεργοποιημένη την επιλογή DEBUG, ήτοι να είναι False. Αυτό θα κάνει τον server σας πιο γρήγορο και θα αποτρέψει τους κακόβουλους χρήστες να δουν λεπτομέρειες σχετικά με την εφαρμογή σας οι οποίες εμφανίζονται όταν προκύπτουν σφάλματα στη σελίδα.

Ωστόσο, αν η επιλογή DEBUG είναι False τότε δεν θα μπορέσετε ποτέ να δείτε τυχόν σφάλματα της σελίδας σας – όλοι, ακόμη και εσείς οι ίδιοι, θα βλέπουν τις δημόσιες σελίδες σφαλμάτων (πχ internal server error 500, page not found 404 κλπ). Θα χρειαστεί, λοιπόν, να παρακολουθείτε τα σφάλματα τα οποία προκύπτουν στις σελίδες που είναι στον αέρα, ούτως ώστε το Django να μπορεί να παραμετροποιηθεί για να δημιουργεί λεπτομερείς αναφορές σφαλμάτων.

Αναφορές email

Σφάλματα server

When DEBUG is False, Django will email the users listed in the ADMINS setting whenever your code raises an unhandled exception and results in an internal server error (strictly speaking, for any response with an HTTP status code of 500 or greater). This gives the administrators immediate notification of any errors. The ADMINS will get a description of the error, a complete Python traceback, and details about the HTTP request that caused the error.

Σημείωση

Για να σταλεί το email, το Django απαιτεί μερικές ρυθμίσεις συνδεσιμότητας με τον δικό σας mail server. Θα πρέπει, τουλάχιστον, να προσδιορίσετε την επιλογή EMAIL_HOST και πιθανόν την EMAIL_HOST_USER και EMAIL_HOST_PASSWORD. Ωστόσο, ίσως χρειαστεί να προσδιορίσετε και άλλες επιλογές ανάλογα την παραμετροποίηση του mail server σας. Συμβουλευτείτε το εγχειρίδιο γενικών ρυθμίσεων του Django για μια πλήρη λίστα σχετικά με τις ρυθμίσεις του email.

Από προεπιλογή, το Django θα στείλει email από τη διεύθυνση root@localhost. Ωστόσο, κάποιοι πάροχοι ηλεκτρονικού ταχυδρομείου θα απορρίψουν όλα τα emails από αυτή τη διεύθυνση. Για να χρησιμοποιήσετε μια διαφορετική διεύθυνση αποστολέα, αλλάξτε τη ρύθμιση SERVER_EMAIL.

Για να ενεργοποιήσετε αυτή τη συμπεριφορά, εισάγετε τις διευθύνσεις email των παραληπτών μέσα στη ρύθμιση ADMINS.

Δείτε επίσης

Για την αποστολή των emails που στέλνονται όταν προκύπτει σφάλμα στον server, χρησιμοποιείται το logging framework, οπότε μπορείτε να παραμετροποιήσετε αυτή τη συμπεριφορά φέρνοντας στα μέτρα σας την παραμετροποίηση του logging.

Σφάλματα 404

Το Django μπορεί, επίσης, να παραμετροποιηθεί για να στέλνει email όταν προκύπτουν σπασμένοι σύνδεσμοι (broken links – σφάλμα 404 «page not found»). Το Django στέλνει emails σχετικά με σφάλματα 404 όταν:

Αν ισχύουν τα παραπάνω, το Django θα στείλει email στους χρήστες οι οποίοι βρίσκονται στη λίστα της ρύθμισης MANAGERS οποτεδήποτε ο κώδικας σας κάνει raise ένα σφάλμα 404 και το request έχει έναν referer. Δεν στέλνει email για σφάλματα 404 τα οποία δεν έχουν referer – αυτά είναι συνήθως σφάλματα που προκύπτουν από χρήστες που γράφουν οι ίδιοι σπασμένα URLs ή από broken Web bots. Αγνοεί, επίσης, σφάλματα 404 όταν ο referer είναι ίδιος με το ζητούμενο URL, αφού αυτή η συμπεριφορά προέρχεται, επίσης, από broken Web bots.

Σημείωση

Η middleware κλάση BrokenLinkEmailsMiddleware πρέπει να εμφανίζεται πριν από άλλες middleware οι οποίες ασχολούνται με σφάλματα 404, όπως η κλάση LocaleMiddleware ή FlatpageFallbackMiddleware. Βάλτε τη κοντά στην κορυφή της ρύθμισης MIDDLEWARE.

Μπορείτε να ρυθμίσετε το Django να σταματήσει την αναφορά συγκεκριμένων σφαλμάτων 404 πειράζοντας την ρύθμιση IGNORABLE_404_URLS. Αυτή είναι μια λίστα από regular expression objects. Για παράδειγμα:

import re
IGNORABLE_404_URLS = [
    re.compile(r'\.(php|cgi)$'),
    re.compile(r'^/phpmyadmin/'),
]

Σε αυτό το παράδειγμα, ένα σφάλμα 404 σε οποιοδήποτε URL που τελειώνει με .php ή .cgi δεν θα αναφερθεί. Ούτε, επίσης, οποιοδήποτε URL που ξεκινά με το /phpmyadmin/.

Το ακόλουθο παράδειγμα δείχνει πως να εξαιρέσετε μερικά συμβατικά URLs τα οποία οι browsers και οι crawlers ζητούν συχνά:

import re
IGNORABLE_404_URLS = [
    re.compile(r'^/apple-touch-icon.*\.png$'),
    re.compile(r'^/favicon\.ico$'),
    re.compile(r'^/robots\.txt$'),
]

(Σημειώστε ότι αυτά είναι regular expressions, οπότε βάζουμε ένα backslash μπροστά από τους χαρακτήρες της τελείας για να τις κάνουμε escape.)

Αν θέλετε να αλλάξετε τη συμπεριφορά της middleware κλάσης django.middleware.common.BrokenLinkEmailsMiddleware (πχ να αγνοήσει τα requests που προέρχονται από τους web crawlers), θα πρέπει να την κάνετε subclass, να παρακάμψετε (override) τις μεθόδους της και να χρησιμοποιήσετε τη δική σας στη ρύθμιση MIDDLEWARE.

Δείτε επίσης

Τα σφάλματα 404 γίνονται logged χρησιμοποιώντας το logging framework της Python. Από προεπιλογή, αυτά τα log αρχεία αγνοούνται, αλλά μπορείτε να τα χρησιμοποιήσετε για αναφορά σφαλμάτων γράφοντας έναν handler και παραμετροποιώντας το logging καταλλήλως.

Φιλτράροντας τις αναφορές σφαλμάτων

Προειδοποίηση

Το φιλτράρισμα των ευαίσθητων δεδομένων είναι ένα δύσκολο πρόβλημα, και είναι σχεδόν αδύνατο να εγγυηθεί ότι τα ευαίσθητα δεδομένα δεν θα διαρρεύσουν σε μια αναφορά σφάλματος. Ως εκ τούτου, οι αναφορές σφαλμάτων θα πρέπει να είναι διαθέσιμες μόνο σε αξιόπιστα μέλη της ομάδας και θα πρέπει να αποφύγεις τη μετάδοση αναφορών σφαλμάτων χωρίς κρυπτογράφηση μέσω του διαδικτύου (όπως μέσω ηλεκτρονικού ταχυδρομείου).

Φιλτράροντας ευαίσθητα δεδομένα

Οι αναφορές σφαλμάτων είναι πολύ χρήσιμες για την αποσφαλμάτωση, οπότε είναι γενικά χρήσιμο να καταγράφετε όσο το δυνατόν περισσότερη πληροφορία σχετικά με αυτά τα λάθη γίνεται. Για παράδειγμα, από προεπιλογή, το Django καταγράφει το πλήρες traceback για το exception που έγινε raised, κάθε τοπική μεταβλητή ενός traceback frame’ και τα attributes του HttpRequest.

Ωστόσο, μερικές φορές, μερικοί τύποι πληροφοριών μπορεί να είναι πολύ ευαίσθητοι και επομένως δεν πρέπει να καταγράφονται, για παράδειγμα το password ενός χρήστη ή ο αριθμός της πιστωτικής του κάρτας. Οπότε, εκτός από το φιλτράρισμα των ρυθμίσεων οι οποίες είναι ευαίσθητες, όπως περιγράφεται στο εγχειρίδιο του DEBUG, το Django προσφέρει ένα σετ από decorator συναρτήσεις για να σας βοηθήσει να ελέγξετε ποιες πληροφορίες θα πρέπει να μένουν εκτός σε αναφορές σφαλμάτων σε ένα παραγωγικό περιβάλλον (ήτοι η ρύθμιση DEBUG είναι False): η συνάρτηση sensitive_variables() και η sensitive_post_parameters().

sensitive_variables(*variables)[πηγή]

Αν μια συνάρτηση (είτε ένα view είτε κάποιο συνηθισμένο callback) μέσα στον κώδικα σας χρησιμοποιεί τοπικές μεταβλητές ικανές για να κρατήσουν ευαίσθητα δεδομένα, μπορείτε να εμποδίσετε τις τιμές των μεταβλητών αυτών να συμπεριληφθούν στις αναφορές σφαλμάτων, χρησιμοποιώντας τον decorator sensitive_variables:

from django.views.decorators.debug import sensitive_variables

@sensitive_variables('user', 'pw', 'cc')
def process_info(user):
    pw = user.pass_word
    cc = user.credit_card_number
    name = user.name
    ...

Στο παραπάνω παράδειγμα, οι τιμές των μεταβλητών user, pw και cc δεν θα εμφανιστούν και θα αντικατασταθούν με αστερίσκους (**********) στις αναφορές σφαλμάτων, αλλά η τιμή της μεταβλητής name θα εμφανιστεί ως έχει.

Αν θέλετε να κρύψετε όλες τις τοπικές μεταβλητές μια συνάρτησης από τις αναφορές σφαλμάτων, δεν έχετε παρά να μην δώσετε καμία παράμετρο στον decorator sensitive_variables:

@sensitive_variables()
def my_function():
    ...

Όταν χρησιμοποιείτε πολλούς decorators

Αν η τιμή που θέλετε να αποκρύψετε είναι μια παράμετρος μιας συνάρτησης (πχ η “user’ στο παρακάτω παράδειγμα) και αν η διακοσμημένη συνάρτηση (συνάρτηση στην οποία έχει εφαρμοστεί ένας decorator) έχει πολλούς decorators, τότε σιγουρευτείτε ότι το @sensitive_variables βρίσκεται στην κορυφή της αλυσίδας των decorators. Με αυτό τον τρόπο θα αποκρύψει, επίσης, την παράμετρο της συνάρτησης όσο αυτή περνάει στους επόμενους decorators, κάτω στην αλυσίδα:

@sensitive_variables('user', 'pw', 'cc')
@some_decorator
@another_decorator
def process_info(user):
    ...
sensitive_post_parameters(*parameters)[πηγή]

Αν ένα από τα views σας, λαμβάνει ένα object τύπου HttpRequest το οποίο έχει ικανές να αποθηκεύουν ευαίσθητα δεδομένα παραμέτρους POST, μπορείτε να αποτρέψετε τις τιμές αυτών των παραμέτρων να καταγραφούν στις αναφορές σφαλμάτων χρησιμοποιώντας τον decorator sensitive_post_parameters:

from django.views.decorators.debug import sensitive_post_parameters

@sensitive_post_parameters('pass_word', 'credit_card_number')
def record_user_profile(request):
    UserProfile.create(
        user=request.user,
        password=request.POST['pass_word'],
        credit_card=request.POST['credit_card_number'],
        name=request.POST['name'],
    )
    ...

Στο παραπάνω παράδειγμα, οι τιμές των POST παραμέτρων pass_word και credit_card_number δεν θα εμφανιστούν και θα αντικατασταθούν με αστερίσκους (**********) στην αναπαράσταση του request μέσα στις αναφορές σφαλμάτων, αλλά η τιμή της παραμέτρου name θα εμφανιστεί ως έχει.

Για να αποκρύψετε όλες τις POST παραμέτρους ενός request στις αναφορές σφαλμάτων, δεν έχετε παρά να μην περάσετε καμία παράμετρο στον decorator sensitive_post_parameters:

@sensitive_post_parameters()
def my_view(request):
    ...

Για συγκεκριμένα django.contrib.auth.views views (login, password_reset_confirm, password_change και add_view, user_change_password για το auth admin), όλες οι POST παράμετροι μένουν εκτός των αναφορών σφαλμάτων για να εμποδίσουν τυχόν διαρροές ευαίσθητων δεδομένων, όπως είναι τα passwords των χρηστών.

Παραμετροποιήσιμες αναφορές σφαλμάτων

Το μόνο που κάνουν οι συναρτήσεις sensitive_variables() και sensitive_post_parameters(), αντίστοιχα, είναι να επισημαίνουν την διακοσμημένη συνάρτηση με τα ονόματα των ευαίσθητων δεδομένων και να επισημαίνουν το HttpRequest object με τα ονόματα των ευαίσθητων POST παραμέτρων, ούτως ώστε αυτές οι ευαίσθητες πληροφορίες να μπορούν αργότερα να μείνουν εκτός των αναφορών σφαλμάτων, όταν προκύψει κάποιο σφάλμα. Το πραγματικό φιλτράρισμα γίνεται από ένα προεπιλεγμένο φίλτρο αναφορά σφαλμάτων του Django: την κλάση django.views.debug.SafeExceptionReporterFilter. Αυτό το φίλτρο χρησιμοποιεί τις επισημάνσεις των decorator για να αντικαταστήσει τις αντίστοιχες τιμές με αστερίσκους (**********) όταν παράγονται οι αναφορές σφάλματος. Αν θέλετε να παρακάμψετε ή να παραμετροποιήσετε αυτή την προεπιλεγμένη συμπεριφορά για όλο το site σας, θα πρέπει να ορίσετε τη δική σας κλάση φίλτρου και να πείτε στο Django να χρησιμοποιήσει αυτή μέσω της ρύθμισης DEFAULT_EXCEPTION_REPORTER_FILTER:

DEFAULT_EXCEPTION_REPORTER_FILTER = 'path.to.your.CustomExceptionReporterFilter'

Μπορείτε επίσης να ελέγξετε, σε πιο λεπτομερές επίπεδο, ποιο φίλτρο να χρησιμοποιηθεί μέσα σε κάθε view θέτοντας το attribute exception_reporter_filter του HttpRequest:

def my_view(request):
    if request.user.is_authenticated:
        request.exception_reporter_filter = CustomExceptionReporterFilter()
    ...

Η δική σας κλάση φίλτρου χρειάζεται να κληρονομήσει από την κλάση django.views.debug.SafeExceptionReporterFilter και μπορεί να παρακάμψει (override) τις ακόλουθες μεθόδους:

class SafeExceptionReporterFilter[πηγή]
SafeExceptionReporterFilter.is_active(request)[πηγή]

Επιστρέφει True για να ενεργοποιήσει το φιλτράρισμα που γίνεται σε άλλες μεθόδους. Από προεπιλογή το φίλτρο είναι ενεργό αν η ρύθμιση DEBUG είναι False.

SafeExceptionReporterFilter.get_post_parameters(request)[πηγή]

Επιστρέφει το φιλτραρισμένο dictionary των POST παραμέτρων. Από προεπιλογή αντικαθιστά τις τιμές των ευαίσθητων δεδομένων με αστερίσκους (**********).

SafeExceptionReporterFilter.get_traceback_frame_variables(request, tb_frame)[πηγή]

Επιστρέφει το φιλτραρισμένο dictionary των τοπικών μεταβλητών για το τρέχων traceback frame. Από προεπιλογή αντικαθιστά τις τιμές των ευαίσθητων δεδομένων με αστερίσκους (**********).

Δείτε επίσης

Μπορείτε επίσης να ρυθμίσετε τις δικές σας αναφορές σφαλμάτων γράφοντας ένα δικό σας κομμάτι μιας exception middleware. Αν όντως γράψετε έναν δικό σας διαχειριστή σφαλμάτων, μια καλή ιδέα είναι να μιμηθείτε τον προεγκατεστημένο διαχειριστή σφαλμάτων του Django και να αναφέρετε ή να κάνετε log τυχόν σφάλματα μόνο αν η ρύθμιση DEBUG είναι False.

Back to Top