How to manage error reporting¶
Όταν έχετε στον αέρα την ιστοσελίδα σας θα πρέπει να έχετε πάντα απενεργοποιημένη την επιλογή DEBUG
, ήτοι να είναι False
. Αυτό θα κάνει τον server σας πιο γρήγορο και θα αποτρέψει τους κακόβουλους χρήστες να δουν λεπτομέρειες σχετικά με την εφαρμογή σας οι οποίες εμφανίζονται όταν προκύπτουν σφάλματα στη σελίδα.
However, running with DEBUG
set to False
means you’ll never see
errors generated by your site – everyone will instead see your public error
pages. You need to keep track of errors that occur in deployed sites, so Django
can be configured to create reports with details about those errors.
Αναφορές email¶
Σφάλματα server¶
When DEBUG
is False
, Django will email the users listed in the
ADMINS
setting whenever your code raises an unhandled exception and
results in an internal server error (strictly speaking, for any response with
an HTTP status code of 500 or greater). This gives the administrators immediate
notification of any errors. The ADMINS
will get a description of the
error, a complete Python traceback, and details about the HTTP request that
caused the error.
Σημείωση
Για να σταλεί το email, το Django απαιτεί μερικές ρυθμίσεις συνδεσιμότητας με τον δικό σας mail server. Θα πρέπει, τουλάχιστον, να προσδιορίσετε την επιλογή EMAIL_HOST
και πιθανόν την EMAIL_HOST_USER
και EMAIL_HOST_PASSWORD
. Ωστόσο, ίσως χρειαστεί να προσδιορίσετε και άλλες επιλογές ανάλογα την παραμετροποίηση του mail server σας. Συμβουλευτείτε το εγχειρίδιο γενικών ρυθμίσεων του Django για μια πλήρη λίστα σχετικά με τις ρυθμίσεις του email.
Από προεπιλογή, το Django θα στείλει email από τη διεύθυνση root@localhost. Ωστόσο, κάποιοι πάροχοι ηλεκτρονικού ταχυδρομείου θα απορρίψουν όλα τα emails από αυτή τη διεύθυνση. Για να χρησιμοποιήσετε μια διαφορετική διεύθυνση αποστολέα, αλλάξτε τη ρύθμιση SERVER_EMAIL
.
Για να ενεργοποιήσετε αυτή τη συμπεριφορά, εισάγετε τις διευθύνσεις email των παραληπτών μέσα στη ρύθμιση ADMINS
.
Δείτε επίσης
Για την αποστολή των emails που στέλνονται όταν προκύπτει σφάλμα στον server, χρησιμοποιείται το logging framework, οπότε μπορείτε να παραμετροποιήσετε αυτή τη συμπεριφορά φέρνοντας στα μέτρα σας την παραμετροποίηση του logging.
Σφάλματα 404¶
Το Django μπορεί, επίσης, να παραμετροποιηθεί για να στέλνει email όταν προκύπτουν σπασμένοι σύνδεσμοι (broken links – σφάλμα 404 «page not found»). Το Django στέλνει emails σχετικά με σφάλματα 404 όταν:
Η ρύθμιση
DEBUG
είναιFalse
καιΗ ρύθμιση
MIDDLEWARE
περιέχει τηνdjango.middleware.common.BrokenLinkEmailsMiddleware
.
If those conditions are met, Django will email the users listed in the
MANAGERS
setting whenever your code raises a 404 and the request has
a referer. It doesn’t bother to email for 404s that don’t have a referer –
those are usually people typing in broken URLs or broken web bots. It also
ignores 404s when the referer is equal to the requested URL, since this
behavior is from broken web bots too.
Σημείωση
BrokenLinkEmailsMiddleware
must appear
before other middleware that intercepts 404 errors, such as
LocaleMiddleware
or
FlatpageFallbackMiddleware
.
Put it toward the top of your MIDDLEWARE
setting.
Μπορείτε να ρυθμίσετε το Django να σταματήσει την αναφορά συγκεκριμένων σφαλμάτων 404 πειράζοντας την ρύθμιση IGNORABLE_404_URLS
. Αυτή είναι μια λίστα από regular expression objects. Για παράδειγμα:
import re
IGNORABLE_404_URLS = [
re.compile(r"\.(php|cgi)$"),
re.compile(r"^/phpmyadmin/"),
]
Σε αυτό το παράδειγμα, ένα σφάλμα 404 σε οποιοδήποτε URL που τελειώνει με .php
ή .cgi
δεν θα αναφερθεί. Ούτε, επίσης, οποιοδήποτε URL που ξεκινά με το /phpmyadmin/
.
Το ακόλουθο παράδειγμα δείχνει πως να εξαιρέσετε μερικά συμβατικά URLs τα οποία οι browsers και οι crawlers ζητούν συχνά:
import re
IGNORABLE_404_URLS = [
re.compile(r"^/apple-touch-icon.*\.png$"),
re.compile(r"^/favicon\.ico$"),
re.compile(r"^/robots\.txt$"),
]
(Σημειώστε ότι αυτά είναι regular expressions, οπότε βάζουμε ένα backslash μπροστά από τους χαρακτήρες της τελείας για να τις κάνουμε escape.)
Αν θέλετε να αλλάξετε τη συμπεριφορά της middleware κλάσης django.middleware.common.BrokenLinkEmailsMiddleware
(πχ να αγνοήσει τα requests που προέρχονται από τους web crawlers), θα πρέπει να την κάνετε subclass, να παρακάμψετε (override) τις μεθόδους της και να χρησιμοποιήσετε τη δική σας στη ρύθμιση MIDDLEWARE
.
Δείτε επίσης
Τα σφάλματα 404 γίνονται logged χρησιμοποιώντας το logging framework της Python. Από προεπιλογή, αυτά τα log αρχεία αγνοούνται, αλλά μπορείτε να τα χρησιμοποιήσετε για αναφορά σφαλμάτων γράφοντας έναν handler και παραμετροποιώντας το logging καταλλήλως.
Φιλτράροντας τις αναφορές σφαλμάτων¶
Προειδοποίηση
Filtering sensitive data is a hard problem, and it’s nearly impossible to guarantee that sensitive data won’t leak into an error report. Therefore, error reports should only be available to trusted team members and you should avoid transmitting error reports unencrypted over the internet (such as through email).
Φιλτράροντας ευαίσθητα δεδομένα¶
Οι αναφορές σφαλμάτων είναι πολύ χρήσιμες για την αποσφαλμάτωση, οπότε είναι γενικά χρήσιμο να καταγράφετε όσο το δυνατόν περισσότερη πληροφορία σχετικά με αυτά τα λάθη γίνεται. Για παράδειγμα, από προεπιλογή, το Django καταγράφει το πλήρες traceback για το exception που έγινε raised, κάθε τοπική μεταβλητή ενός traceback frame’ και τα attributes του HttpRequest
.
Ωστόσο, μερικές φορές, μερικοί τύποι πληροφοριών μπορεί να είναι πολύ ευαίσθητοι και επομένως δεν πρέπει να καταγράφονται, για παράδειγμα το password ενός χρήστη ή ο αριθμός της πιστωτικής του κάρτας. Οπότε, εκτός από το φιλτράρισμα των ρυθμίσεων οι οποίες είναι ευαίσθητες, όπως περιγράφεται στο εγχειρίδιο του DEBUG
, το Django προσφέρει ένα σετ από decorator συναρτήσεις για να σας βοηθήσει να ελέγξετε ποιες πληροφορίες θα πρέπει να μένουν εκτός σε αναφορές σφαλμάτων σε ένα παραγωγικό περιβάλλον (ήτοι η ρύθμιση DEBUG
είναι False
): η συνάρτηση sensitive_variables()
και η sensitive_post_parameters()
.
- sensitive_variables(*variables)[πηγή]¶
Αν μια συνάρτηση (είτε ένα view είτε κάποιο συνηθισμένο callback) μέσα στον κώδικα σας χρησιμοποιεί τοπικές μεταβλητές ικανές για να κρατήσουν ευαίσθητα δεδομένα, μπορείτε να εμποδίσετε τις τιμές των μεταβλητών αυτών να συμπεριληφθούν στις αναφορές σφαλμάτων, χρησιμοποιώντας τον decorator
sensitive_variables
:from django.views.decorators.debug import sensitive_variables @sensitive_variables("user", "pw", "cc") def process_info(user): pw = user.pass_word cc = user.credit_card_number name = user.name ...
In the above example, the values for the
user
,pw
andcc
variables will be hidden and replaced with stars (**********
) in the error reports, whereas the value of thename
variable will be disclosed.Αν θέλετε να κρύψετε όλες τις τοπικές μεταβλητές μια συνάρτησης από τις αναφορές σφαλμάτων, δεν έχετε παρά να μην δώσετε καμία παράμετρο στον decorator
sensitive_variables
:@sensitive_variables() def my_function(): ...
Όταν χρησιμοποιείτε πολλούς decorators
Αν η τιμή που θέλετε να αποκρύψετε είναι μια παράμετρος μιας συνάρτησης (πχ η “
user
’ στο παρακάτω παράδειγμα) και αν η διακοσμημένη συνάρτηση (συνάρτηση στην οποία έχει εφαρμοστεί ένας decorator) έχει πολλούς decorators, τότε σιγουρευτείτε ότι το@sensitive_variables
βρίσκεται στην κορυφή της αλυσίδας των decorators. Με αυτό τον τρόπο θα αποκρύψει, επίσης, την παράμετρο της συνάρτησης όσο αυτή περνάει στους επόμενους decorators, κάτω στην αλυσίδα:@sensitive_variables("user", "pw", "cc") @some_decorator @another_decorator def process_info(user): ...
Changed in Django 5.0:Support for wrapping
async
functions was added.
- sensitive_post_parameters(*parameters)[πηγή]¶
Αν ένα από τα views σας, λαμβάνει ένα object τύπου
HttpRequest
το οποίο έχει ικανές να αποθηκεύουν ευαίσθητα δεδομέναπαραμέτρους POST
, μπορείτε να αποτρέψετε τις τιμές αυτών των παραμέτρων να καταγραφούν στις αναφορές σφαλμάτων χρησιμοποιώντας τον decoratorsensitive_post_parameters
:from django.views.decorators.debug import sensitive_post_parameters @sensitive_post_parameters("pass_word", "credit_card_number") def record_user_profile(request): UserProfile.create( user=request.user, password=request.POST["pass_word"], credit_card=request.POST["credit_card_number"], name=request.POST["name"], ) ...
In the above example, the values for the
pass_word
andcredit_card_number
POST parameters will be hidden and replaced with stars (**********
) in the request’s representation inside the error reports, whereas the value of thename
parameter will be disclosed.Για να αποκρύψετε όλες τις POST παραμέτρους ενός request στις αναφορές σφαλμάτων, δεν έχετε παρά να μην περάσετε καμία παράμετρο στον decorator
sensitive_post_parameters
:@sensitive_post_parameters() def my_view(request): ...
Για συγκεκριμένα
django.contrib.auth.views
views (login
,password_reset_confirm
,password_change
καιadd_view
,user_change_password
για τοauth
admin), όλες οι POST παράμετροι μένουν εκτός των αναφορών σφαλμάτων για να εμποδίσουν τυχόν διαρροές ευαίσθητων δεδομένων, όπως είναι τα passwords των χρηστών.Changed in Django 5.0:Support for wrapping
async
functions was added.
Παραμετροποιήσιμες αναφορές σφαλμάτων¶
All sensitive_variables()
and sensitive_post_parameters()
do is,
respectively, annotate the decorated function with the names of sensitive
variables and annotate the HttpRequest
object with the names of sensitive
POST parameters, so that this sensitive information can later be filtered out
of reports when an error occurs. The actual filtering is done by Django’s
default error reporter filter:
django.views.debug.SafeExceptionReporterFilter
. This filter uses the
decorators” annotations to replace the corresponding values with stars
(**********
) when the error reports are produced. If you wish to
override or customize this default behavior for your entire site, you need to
define your own filter class and tell Django to use it via the
DEFAULT_EXCEPTION_REPORTER_FILTER
setting:
DEFAULT_EXCEPTION_REPORTER_FILTER = "path.to.your.CustomExceptionReporterFilter"
Μπορείτε επίσης να ελέγξετε, σε πιο λεπτομερές επίπεδο, ποιο φίλτρο να χρησιμοποιηθεί μέσα σε κάθε view θέτοντας το attribute exception_reporter_filter
του HttpRequest
:
def my_view(request):
if request.user.is_authenticated:
request.exception_reporter_filter = CustomExceptionReporterFilter()
...
Your custom filter class needs to inherit from
django.views.debug.SafeExceptionReporterFilter
and may override the
following attributes and methods:
- class SafeExceptionReporterFilter[πηγή]¶
- cleansed_substitute¶
The string value to replace sensitive value with. By default it replaces the values of sensitive variables with stars (
**********
).
A compiled regular expression object used to match settings and
request.META
values considered as sensitive. By default equivalent to:import re re.compile(r"API|TOKEN|KEY|SECRET|PASS|SIGNATURE|HTTP_COOKIE", flags=re.IGNORECASE)
- is_active(request)[πηγή]¶
Returns
True
to activate the filtering inget_post_parameters()
andget_traceback_frame_variables()
. By default the filter is active ifDEBUG
isFalse
. Note that sensitiverequest.META
values are always filtered along with sensitive setting values, as described in theDEBUG
documentation.
- get_post_parameters(request)[πηγή]¶
Returns the filtered dictionary of POST parameters. Sensitive values are replaced with
cleansed_substitute
.
- get_traceback_frame_variables(request, tb_frame)[πηγή]¶
Returns the filtered dictionary of local variables for the given traceback frame. Sensitive values are replaced with
cleansed_substitute
.
If you need to customize error reports beyond filtering you may specify a
custom error reporter class by defining the
DEFAULT_EXCEPTION_REPORTER
setting:
DEFAULT_EXCEPTION_REPORTER = "path.to.your.CustomExceptionReporter"
The exception reporter is responsible for compiling the exception report data,
and formatting it as text or HTML appropriately. (The exception reporter uses
DEFAULT_EXCEPTION_REPORTER_FILTER
when preparing the exception
report data.)
Your custom reporter class needs to inherit from
django.views.debug.ExceptionReporter
.
- class ExceptionReporter[πηγή]¶
- html_template_path[πηγή]¶
Property that returns a
pathlib.Path
representing the absolute filesystem path to a template for rendering the HTML representation of the exception. Defaults to the Django provided template.
- text_template_path[πηγή]¶
Property that returns a
pathlib.Path
representing the absolute filesystem path to a template for rendering the plain-text representation of the exception. Defaults to the Django provided template.
- get_traceback_data()[πηγή]¶
Return a dictionary containing traceback information.
This is the main extension point for customizing exception reports, for example:
from django.views.debug import ExceptionReporter class CustomExceptionReporter(ExceptionReporter): def get_traceback_data(self): data = super().get_traceback_data() # ... remove/add something here ... return data
As with the filter class, you may control which exception reporter class to use
within any given view by setting the HttpRequest
’s
exception_reporter_class
attribute:
def my_view(request):
if request.user.is_authenticated:
request.exception_reporter_class = CustomExceptionReporter()
...
Δείτε επίσης
Μπορείτε επίσης να ρυθμίσετε τις δικές σας αναφορές σφαλμάτων γράφοντας ένα δικό σας κομμάτι μιας exception middleware. Αν όντως γράψετε έναν δικό σας διαχειριστή σφαλμάτων, μια καλή ιδέα είναι να μιμηθείτε τον προεγκατεστημένο διαχειριστή σφαλμάτων του Django και να αναφέρετε ή να κάνετε log τυχόν σφάλματα μόνο αν η ρύθμιση DEBUG
είναι False
.