Django におけるセキュリティ¶
このドキュメントは、Django のセキュリティ機能の概要です。Django を利用したサイトを安全なものにするためのヒントを説明します。
クロス・サイト・スクリプティング (XSS) の防御¶
XSS 攻撃はあるユーザーに対してクライアント用のスクリプトを別のユーザーのブラウザに読み込ませることを可能にしてしまいます。この攻撃は通常他のユーザーに対して選択・表示を行うデータベース内に悪意のあるスクリプトを保存させる、あるいは攻撃者の JavaScript がブラウザで実行されるリンクをユーザーにクリックさせることでなされます。しかしながら、XSS 攻撃はページを読み込む前に十分なサニタイズを行っていなければ、信頼できないクッキーやウェブ・サービスのようなデータが発生の原因となることがあります。
Django のテンプレートを用いる事で多数の XSS 攻撃に対抗できます。しかしながら、それがどのような防御策が用意でき、またその利用に際する制限について知ることが重要になります。
Django は HTML に対して特に危険とみなされる 特定の文字列のエスケープ を行います。この防御によってユーザーは大半の悪意のある入力から守られますが、いつも簡単で容易に利用できる訳ではありません。たとえば、次に示す例では防御がなされません。
<style class={{ var }}>...</style>
もし var
の値が 'class1 onmouseover=javascript:func()'
にセットされた場合、不完全な HTML をそのブラウザがどのようにレンダリングするかによっては、許可されていない Javascript を実行させる事になります。(このケースであれば属性値のクオートを行えば対処できます)
カスタム・テンプレート・タグと共に is_safe
を用いたり、 safe
テンプレートタグや、 mark_safe
の利用に加えてオートエスケープが無効化されている場合十分な注意を払う必要があります。
ここまでの内容に加えて、HTML 以外を出力するのにテンプレートシステムを利用している場合、完全に別のエスケープすべき文字や単語が存在するかもしれません。
HTML をデータベース内に収集、特にその HTML が選択・表示される場合は十分な注意を払う必要があります。
クロス・サイト・リクエスト・フォージェリ(CSRF)の防御¶
CSRF 攻撃は悪意ある利用者が、あるユーザーが自身で持っている情報や承認を用いずに、そのユーザーの認証情報での処理を発生させてしまう攻撃です。
Django は大半の CSRF 攻撃に対応したビルトインの防御機構を備え、適切な所で 有効化して利用できます 。しかしながら、いかなる緩和策にも制限が存在します。たとえば、CSRF モジュールをグローバルにあるいは特定のビューだけ無効化できます。これは自身が何をしているのか理解している場合のみ行うべきです。もしあなたのサイト内に管理対象外のサブドメインが存在すればそこにも 制限 が存在します。
CSRFプロテクション はそれぞれのPOSTリクエストのシークレットを検証することで動作します。これにより、悪意のあるユーザーがあなたのウェブサイトに対してフォームのPOSTを「再送信」することはできず、他のログイン済みユーザーは意識することなくフォームを送信できます。悪意のあるユーザーはCookieを使用したユーザー固有のシークレットを知る必要があります。
HTTPS でデプロイした場合、CsrfViewMiddleware
は HTTP referer ヘッダが (サブドメインとポートを含め) 同一オリジンの URL にセットされているかをチェックします。HTTPS では強化されたセキュリティを利用できるため、可能な限り安全でないコネクションのリクエストを転送したり、サポートされたブラウザでは HSTS を使用するなどして HTTPS コネクションを使用することが不可欠です。
どうしても必要という場合を除いて、 csrf_exempt
デコレータでビューをマークする際には十分注意してください。
SQL injectionへの防御¶
SQL injectionは、悪意ある攻撃者がデータベース任意のSQLコードを実行する攻撃です。これによって、レコードが削除されたり、情報が漏洩する可能性があります。
Djangoのクエリセットは、クエリのパラメータ化によってクエリを構成するため、SQL injectionから守られています。クエリのSQLコードはそのクエリのパラメータとは独立に定義されています。パラメータはユーザが指定するものも有り、安全ではないので、低レイヤのデータベースドライバーによってエスケープされます。
Djangoは開発者に、素のクエリを実行する または カスタムSQLを実行する 力も与えています。これらの機能は慎重に使用すべきであり、ユーザーが制御できるパラメータを適切にエスケープすることを常に注意すべきです。さらに、extra()
や RawSQL
を使用する際には注意が必要です。
クリックジャッキング (Clickjacking) に対する防御¶
クリックジャッキング (Clickjacking) は、悪意のあるサイトが他のサイトをフレームの中に表示するタイプの攻撃です。攻撃の結果、疑いのないユーザーが騙されてターゲットのサイトに対して意図しない操作を行ってしまいます。
Djangoは クリックジャッキング保護 の仕組みを X-Frame-Options ミドルウェア
で提供しています。サポートしているブラウザではサイトをフレーム内で描画しないようにします。この保護はビュー単位で無効化できます。あるいは、固定的にヘッダーの値を送信できます。
サードパーティのサイト上でページをフレーム内に表示する必要がないか、もし合ったとしてもごく少数のセクションしかないようなあらゆるサイトは、このミドルウェアを使用することを強く推奨します。
SSL/HTTPS¶
セキュリティの観点から、サイトを HTTPS の下でデプロイするのは常に良い選択です。HTTPS がなければ、悪意のあるネットワークユーザーが、クライアント・サーバー間で通信される認証情報やその他あらゆる情報を盗み見たり、場合によっては、積極的な ネットワーク攻撃者がどちらの方向でもデータ書き換えが可能になってしまいます。
HTTPS による保護をサーバー上で有効にするためには、多少の追加作業が必要になります:
必要な場合は、関連する注意点を完全に理解した上で、
SECURE_PROXY_SSL_HEADER
をセットしてください。この設定に失敗すると、CSRF の脆弱性の原因となり、大変な危険につながりかねません!SECURE_SSL_REDIRECT
をTrue
にセットして、HTTP によるリクエストが HTTPS にリダイレクトされるようにしてください。SECURE_PROXY_SSL_HEADER
の注意点を確認してください。リバースプロキシの場合、メインのウェブサーバーを HTTPS にリダイレクトするよう設定した方が簡単で安全かもしれません。'安全な' クッキーを使用してください。
ブラウザが最初 HTTP で通信した場合 (これはブラウザのデフォルトの動作です)、既存のクッキーが誰でも見える状態になっている可能性があります。そのため、
SESSION_COOKIE_SECURE
とCSRF_COOKIE_SECURE
をTrue
にセットする必要があります。これにより、ブラウザは HTTPS コネクションによるクッキーを送信するようになります。これは、セッションが HTTP では動作せず、 CSRF 保護が HTTP によって受け入れられたあらゆる POST データを防止することを意味します (ただし、HTTP 通信を HTTPS にリダイレクトするよう設定しておけば問題ありません)。HTTP Strict Transport Security (HSTS) を使用してください。
HSTS は HTTP ヘッダで、特定のサイトに対する以降のコネクションが常に HTTPS を使うことをブラウザに伝えるものです。HTTP から HTTPS にリクエストをリダイレクトさせることと合わせて、コネクションが 1 つ成功したときに提供される SSL の安全性を担保します。 HSTS は、
SECURE_HSTS_SECONDS
、SECURE_HSTS_INCLUDE_SUBDOMAINS
, とSECURE_HSTS_PRELOAD
、もしくはウェブサーバ上のどれかで設定されます。
Host ヘッダーの検証¶
Django はいくつかのケースで、URL を組み立てるためにクライアントから送られてきた Host
ヘッダーを使用します。Host
ヘッダーの値は、クロス サイト スクリプティング (XSS) 攻撃を回避するためにサニタイズされますが、それでもまだ偽の Host
値はクロス サイト リクエスト フォージェリ (CSRF) やキャッシュポイズニング攻撃、メールアドレス内のリンクへのポイズニング等に使用されます。
一見安全なウェブサーバー設定であっても偽の Host
ヘッダーの可能性が残るため、Djangoは django.http.HttpRequest.get_host()
メソッド内で Host
ヘッダーの値を ALLOWED_HOSTS
設定で検証します。
このヘッダの検証は get_host()
メソッドの実行時にのみ適用されます。もし request.META
から直接 Host
ヘッダにアクセスするコードを書いてしまうと、このセキュリティプロテクションを回避してしまうので注意してください。
より詳しい情報については、ALLOWED_HOSTS
ドキュメントをご覧ください。
警告
以前のドキュメントでは、外部から渡される Host
ヘッダーを検証して正しい値にするようにウェブサーバーを設定することを推奨していました。これはまだ推奨されますが、多くの一般的なウェブサーバーは Host
ヘッダーを正しく検証するように設定できません。例えば、Apacheがそのように設定されたとしても、あなたのDjangoサイトが ServerName
に設定された非デフォルトの仮想ホストを扱うようにApacheに設定された場合、その仮想ホスト名に一致するような偽の Host
ヘッダーを与えたHTTPリクエストを作れます。したがって、ウェブサーバー設定にたよるだけでなく、Djangoの ALLOWED_HOSTS
に明示的に設定する必要があります。
さらに、Djangoでは X-Forwarded-Host
ヘッダーのサポートを使いたければ ( USE_X_FORWARDED_HOST
設定で)明示的に有効にする必要があります。
リファラ ポリシー¶
ブラウザは Referer
ヘッダーを、ユーザーがどのようにしてそのサイトにたどり着いたかについての情報をサイトに送信する手段として使用します。 Referrer Policy を設定することで、どのような状況で Referer
ヘッダが設定されるかを制限し、ユーザーのプライバシーを守ることができます。詳しくは セキュリティミドルウェアのリファレンス のリファラポリシーのセクションを参照してください。
クロスオリジン・オープナー・ポリシー¶
クロスオリジンオープナーポリシー(COOP)ヘッダーは、ブラウザがトップレベルウィンドウを他のドキュメントから隔離し、異なるコンテキストグループに配置することを可能にします。これにより、それらがトップレベルウィンドウと直接的にやり取りすることができなくなります。COOPで保護されたドキュメントがクロスオリジンのポップアップウィンドウを開いた場合、ポップアップの window.opener
プロパティは null
になります。COOPはクロスオリジン攻撃から保護します。詳細については、 セキュリティミドルウェアリファレンスのクロスオリジンオープナーポリシーのセクション を参照してください。
セッションのセキュリティ¶
CSRF limitation が、信頼できないユーザがサブドメインにアクセスできないようにサイトを配置することを要求しているのと同様に、 django.contrib.sessions
にも制限があります。詳細は セッション・トピックガイドのセキュリティに関するセクション を参照してください。
ユーザーがアップロードしたコンテンツ¶
注釈
以下に説明する問題を回避するには クラウドサービスやCDNから静的ファイルを配信する ことを検討してください。
あなたのサイトがファイルのアップロードを受け入れる場合、サービス拒否 (DOS) 攻撃を防ぐために、Webサーバの設定でこれらのアップロードを適切なサイズに制限することを強くお勧めします。Apache では LimitRequestBody ディレクティブを使って簡単に設定できます。
独自の静的ファイルを提供している場合は、Apache の
mod_php
のような、静的ファイルをコードとして実行するハンドラが無効になっていることを確認してください。特別に細工されたファイルをアップロードしてリクエストすることで、ユーザが任意のコードを実行できるようになるのは望ましくありません。Django のメディアアップロード処理には、セキュリティのベストプラクティスに従わない方法でメディアが提供された場合、いくつかの脆弱性があります。具体的には、有効な PNG ヘッダの後に悪意のある HTML が続く場合、HTML ファイルを画像としてアップロードできます。このファイルは、 Django が
ImageField
の画像処理 (Pillow) に使っているライブラリの検証を通過します。このファイルがユーザに表示されるとき、 Web サーバの種類や設定によっては HTML として表示されるかもしれません。フレームワークレベルですべてのユーザーがアップロードしたファイルの内容を安全に検証するための完璧な技術的な解決策はありません。ただし、これらの攻撃を緩和できるいくつかの手順があります:
- ある種の攻撃は、ユーザがアップロードしたコンテンツを常に異なるトップレベルまたはセカンドレベルドメインから提供することで防ぐことができます。これにより、クロスサイトスクリプティングのような same-origin policy の保護によってブロックされる攻撃を防ぐことができます。例えば、あなたのサイトが
example.com
で運営されている場合、アップロードされたコンテンツ(MEDIA_URL
設定)はusercontent-example.com
のようなドメインから提供されることが望ましいです。usercontent.example.com
のようなサブドメインからコンテンツを提供するだけでは十分ではありません。 - さらに、アプリケーションは、ユーザーがアップロードしたファイルに対して許可されるファイル拡張子のリストを定義し、そのようなファイルのみを提供するように Web サーバーを設定することもできます。
- ある種の攻撃は、ユーザがアップロードしたコンテンツを常に異なるトップレベルまたはセカンドレベルドメインから提供することで防ぐことができます。これにより、クロスサイトスクリプティングのような same-origin policy の保護によってブロックされる攻撃を防ぐことができます。例えば、あなたのサイトが
その他のセキュリティトピック¶
Django は、「箱から出してすぐに」優れたセキュリティ保護を提供しますが、アプリケーションを適切にデプロイし、Web サーバやオペレーティングシステム、その他のコンポーネントのセキュリティ保護を利用することが重要です。
- PythonコードがWebサーバのルートの外にあることを確認してください。こうすることで、Pythonコードが誤ってプレーンテキストとして提供されない(あるいは誤って実行されない)ようになります。
- ユーザがアップロードしたファイル には注意してください。
- Djangoはユーザーを認証するためのリクエストの制限を行いません。認証システムへの総当たり攻撃から保護するためには、これらのリクエストを制限するためのDjangoプラグインやWebサーバーモジュールを導入することを検討してください。
- あなたの
SECRET_KEY
とSECRET_KEY_FALLBACKS
を秘密にしておいてください。 - ファイアウォールを使用して、キャッシュシステムとデータベースへのアクセスを制限することをお勧めします。
- Open Web Application Security Project (OWASP) の Top 10 list を見てください。OWASP は、Web アプリケーションによくある脆弱性をいくつか挙げています。Django には、いくつかの問題に対処するためのツールがありますが、それ以外はプロジェクトの設計で考慮する必要があります。
- Mozilla は web security に関する様々なトピックについて議論しています。彼らのページには、どのようなシステムにも適用できるセキュリティの原則も含まれています。