O framework de verificação do sistema.¶

CheckMessage¶

class CheckMessage(level, msg, hint=None, obj=None, id=None)[código fonte]¶

Os alertas e erros emitidos pelo sistema de verificação devem ser uma instância de CheckMessage. Uma instância encapsula um único erro ou aviso. Ele também fornece contexto e dicas aplicáveia a mensagem, e um identificador único que é usado para propósitos de filtragem.

Os argumentos do Construtor são:

level

A gravidade da mensagem. Use um dos valores pré-definidos: DEBUG, INFO, WARNING, ERROR, CRITICAL. Se o nível é maior ou igual a ERROR`, então o Django irá impedir que comandos de gerenciamento sejam exeutados. Mensagens com nível menor que ``ERROR (ex. alertas) são reportados no console, mas pode ser silenciados.

msg

Uma string curta (menor que 80 caracetres) descrevendo o problema. A string não deve conter outras linhas.

hint

Uma string de uma única linha que forneça uma dica para arrumar o problema. Se não pode ser fornecida uma dica, ou a dica é auto-evidente baseado na mensagem de erro, a dica pode ser omitida, ou o valor None pode ser usado.

obj

Opcional. Um objeto que fornece um contexto para a mensagem (por exemplo, o modelo onde o problema foi descoberto). O objeto deve ser um modelo, campo, ou “manager” ou outro objeto que define o método __str__ (no Python 2 você precisa definir o método __unicode__). O método é usado enquanto relata todas as mesagens e seus resultados precedem a mensagem.

id

String opcional. Um identificador único para esse problema. Identificadores devem seguir o formato padrão applabel.X001, onde X é uma das letras de CEWID, indicando a gravidade da mensagem (C para crítico, E para erro e assim por diante). O número pode ser alocado pela aplicação, mas deve ser único dentro daquela aplicação.

Existem subclasses para tornar a criação de mensagens de níveis comuns mais fácil. Quando usá-los você pode omitir o argumento level porque ele está implícito no nome da classe.

class Debug(msg, hint=None, obj=None, id=None)[código fonte]¶

class Info(msg, hint=None, obj=None, id=None)[código fonte]¶

class Warning(msg, hint=None obj=None, id=None)[código fonte]¶

class Error(msg, hint=None, obj=None, id=None)[código fonte]¶

class Critical(msg, hint=None, obj=None, id=None)[código fonte]¶

Tags embutidas¶

As verificações do sistema do Django estão organizadas usando as seguintes tags:

• models: verificações no âmbito de modelo, campo e definições de “managers”.

• signals: verifica sobre declarações de “signals” e com o registro dos manipuladores.

• admin: verifica qualquer declarações do “admin site”.

• compatibility: indica problemas potenciais com atualizações de versões.

• security: verifica configurações relacionadas com segurança.

• templates: verifica configuração relacionadas a templates.

• caches: Verifica configuração relacionada a cache.

• urls: verifica a configuração da URL.

• database: Verifica problemas relacionados a configuração do banco de dados. Verificações do banco não são executados por padrão porque fazem mais que analisar código estático como as verificações normais. Eles são executados somente pelo comando migrate ou se especificada a etiqueta database quando executado o comando check.

Algumas verificações talvez sejam registradas com múltiplas tags.

Verificações do núcleo do sistema¶

Admin¶

Verificações do Admin são todas realizadas como parte da etiqueta admin.

As seguintes verificações sào realizadas em qualquer ModelAdmin (ou subclasse) que está registrada com o site Admin:

• admin.E001: O valor de raw_id_fields deve ser uma lista de tuplas.

• admin.E002: O valor de raw_id_fields[n] referencia ao <field name>, o qual não é um atributo do <model>.

• admin.E003: O valor de raw_id_fields[n] deve ser uma chave estrangeira ou m campo muitos-para-muitos.

• admin.E004: O valor do fields deve ser uma lista de tuplas.

• admin.E005: Ambos fieldsets e fields são especificados.

• admin.E006: O valor do fields contém campo(s) duplicados.

• admin.E007: O valor do fieldsets deve ser uma lista de tuplas.

• admin.E008: O valor do fieldsets[n] deve ser uma lista de tuplas.

• admin.E009: O valor do fieldsets[n] deve ter o comprimento igual a 2.

• admin.E010: O valor do fieldsets[n][1] deve ser um dicionário.

• admin.E011: O valor do fieldsets[n][1] deve conter a chave fields.

• admin.E012: Existem campo(s) ducplicados em fieldsets[n][1].

• admin.E013: fields[n]/fieldsets[n][m] cannot include the ManyToManyField <field name>, because that field manually specifies a relationship model.

• admin.E014: O valor do exclude deve ser uma lista de tuplas.

• admin.E015: O valor do exclude contém campos duplicado(s).

• admin.E016: O valor do form deve herdar de BaseModelForm.

• admin.E017: O valor do filter_vertical deve ser uma lista de tuplas.

• admin.E018: O valor de filter_horizontal deve ser uma lista de tuplas.

• admin.E019: O valor de filter_vertical[n]/filter_vertical[n] refere ao <field name>, o qual não é um atributo do <model>.

• admin.E020: O valor de filter_vertical[n]/filter_vertical[n] deve ser um campo muitos-para-muitos

• admin.E021: O valor de radio_fields deve ser um dicionário.

• admin.E022: O valor de radio_fields refers to <field name>, o qual não é um atributo de <model>.

• admin.E023: O valor de radio_fields referencia a <field name>, o qual não é uma ForeignKey, e não tem uma definição de choices.

• admin.E024: O valor de radio_fields[<field name>] deve ser admin.HORIZONTAL ou admin.VERTICAL.

• admin.E025: O valor de view_on_site deve ser um “callable” ou um booleano.

• admin.E026: O valor de prepopulated_fields deve ser um dicionário.

• admin.E027: O valor de prepopulated_fields referencia a <field name>, o qual não é um atributo de <model>.

• admin.E028: The value of prepopulated_fields refers to <field name>, which must not be a DateTimeField, a ForeignKey, or a ManyToManyField field.

• admin.E029: O valor de prepopulated_fields[<field name>] deve ser uma lista de tuplas.

• admin.E030: O valor de prepopulated_fields referencia a <field name>, o qual não é um atributo de <model>.

• admin.E031: O valor de ordering deve ser uma lista de tuplas.

• admin.E032: O valor de ordering tem o operador para ordem randômica ?, mas contém outros campos também.

• admin.E033: O valor de ordering referencia a <field name>, o qual não é um atributo de <model>.

• admin.E034: O valor de readonly_fields deve ser uma lista de tuplas.

• admin.E035: O valor de readonly_fields[n] não é um “callable”, um atributo da <ModelAdmin class>, ou um atributo do <model>.

Autenticação¶

• auth.E001: REQUIRED_FIELDS deve ser uma lista de tuplas.

• auth.E002: O campo definido como USERNAME_FIELD para um modelo de usuário personalizado não deve ser incluído no REQUIRED_FIELDS.

• auth.E003: <field> deve ser único porque ele está definido como USERNAME_FIELD.

• auth.W004: <field> é definido como o USERNAME_FIELD, mas não é único.

• auth.E005: The permission codenamed <codename> clashes with a builtin permission for model <model>.
• auth.E006: The permission codenamed <codename> is duplicated for model <model>.
• auth.E007: The verbose_name of model <model> must be at most 244 characters for its builtin permission names to be at most 255 characters.
• auth.E008: The permission named <name> of model <model> is longer than 255 characters.
• auth.C009: <User model>.is_anonymous must be an attribute or property rather than a method. Ignoring this is a security issue as anonymous users will be treated as authenticated!
• auth.C010: <User model>.is_authenticated must be an attribute or property rather than a method. Ignoring this is a security issue as anonymous users will be treated as authenticated!

Tipos de Conteúdo¶

As verificação seguintes são realizadas quando um modelo contém um GenericForeignKey ou GenericRelation:

• contenttypes.E001: A GenericForeignKey object ID referencia um campo não existente <field>.

• contenttypes.E002: O tipo de conteúdo GenericForeignKey referencia o campo não existente <field>.

• contenttypes.E003: <field> não é uma ForeignKey.

• contenttypes.E004: <field> não é uma ForeignKey para contenttypes.ContentType.

Segurança¶

As verificações de segurança, não tornam o seu site seguro. Elas não auditam código, não fazem detecção de intrusos ou nada complexo. Ao invés disso, elas ajudam a realizar uma verificação automática dos “frutos mais fáceis de colher”. Elas ajudam a lembrar de coisas simples que melhoram a segurança do seu site.

Algumas dessas verificações talvez não sejam apropriadas para uma configuração de implantação particular. Por exemlo, se você faz redirecionamento do HTTP para HTTPS em um balanceador de carga, isso pode ser irritante de ser constantemente alertado sobre não ter habilitado o SECURE_SSL_REDIRECT. Use o SILENCED_SYSTEM_CHECKS para silenciar verificações desnecessárias.

As seguintes verificações são executadas se você usa a opção check --deploy:

• security.W001: You do not have django.middleware.security.SecurityMiddleware in your MIDDLEWARE/MIDDLEWARE_CLASSES so the SECURE_HSTS_SECONDS, SECURE_CONTENT_TYPE_NOSNIFF, SECURE_BROWSER_XSS_FILTER, and SECURE_SSL_REDIRECT settings will have no effect.
• security.W002: You do not have django.middleware.clickjacking.XFrameOptionsMiddleware in your MIDDLEWARE/MIDDLEWARE_CLASSES, so your pages will not be served with an 'x-frame-options' header. Unless there is a good reason for your site to be served in a frame, you should consider enabling this header to help prevent clickjacking attacks.
• security.W003: You don’t appear to be using Django’s built-in cross-site request forgery protection via the middleware (django.middleware.csrf.CsrfViewMiddleware is not in your MIDDLEWARE/MIDDLEWARE_CLASSES). Enabling the middleware is the safest approach to ensure you don’t leave any holes.

• security.W004: Você não definiu um valor para a definição de SECURE_HSTS_SECONDS. Se todo o seu site é servido via SSL, talvez queira considerar definir o valor e habilitar HTTP Strict Transport Security. Tenha certeza de ler a documentação primeiro; habilitando HSTS sem cuidados você pode causar problema sérios e irreversíveis.

• security.W005: Você não definiu a definição de SECURE_HSTS_INCLUDE_SUBDOMAINS para True. Sem isso, seu site está pontencialmente vulnerável a ataques através de uma conexão insegura para um subdomínio. Somente definica como True se você está certo de que todos os subdomínios do seu domínio devem ser servidos exclusivamente via SSL.

• security.W006: Sua definição para SECURE_CONTENT_TYPE_NOSNIFF não é True, então suas páginas não serão servidas com um cabeçalho ``‘x-content-type-options: nosniff’`. Você deve considerar habilitá-lo para prevenir o navegador web de identificar incorretamente tipos de conteúdo.

• security.W007: Sua definição do SECURE_BROWSER_XSS_FILTER não é True, então suas páginas não serão servidas com o cabeçalho 'x-xss-protection: 1; mode=block'. Você deve considerar habilitar este cabeçalho para ativar o filtro XSS do navegador web e auxilizar a prevenir ataques XSS.

• security.W008: Sua definição para SECURE_SSL_REDIRECT não é True. A menos que seu site deva estar disponível tanto para conexões SSL quanto para não SSL, você talvez queira definir este como True ou configurar o balanceador de carga ou o servidor de proxy reverso para redirecionar todas as conexões para HTTPS.

• security.W009: Sua SECRET_KEY tem menos de 50 caracteres ou menos de 5 únicos caracteres. Por favor gere um longo e randômico SECRET_KEY, de outra meneira muitas das características críticas de seguranças do Django estarão vulneráveis a ataques.

• security.W010: Você tem django.contrib.sessions no seu INSTALLED_APPS mas não definiu SESSION_COOKIE_SECURE como True. Usando uma “cookie” de sessão “somente-segura” é mais difícil para um “sniffer” de tráfego de rede capturar sessões do usuário.

• security.W011: You have django.contrib.sessions.middleware.SessionMiddleware in your MIDDLEWARE/MIDDLEWARE_CLASSES, but you have not set SESSION_COOKIE_SECURE to True. Using a secure-only session cookie makes it more difficult for network traffic sniffers to hijack user sessions.

• security.W012: SESSION_COOKIE_SECURE não é True. Usando uma “cookie” de sessão como “somente-segura” é mais difícil para um “sniffer” de tráfego de rede capturar sessões do usuário.

• security.W013: Você django.contrib.sessions no seu INSTALLED_APPS, mas não definiu SESSION_COOKIE_HTTPONLY como True. Usando uma “cookie” de sessão HttpOnly faz com que seja mais difícil um ataque de script extra-site capturar sessões de usuários.

• security.W014: You have django.contrib.sessions.middleware.SessionMiddleware in your MIDDLEWARE/MIDDLEWARE_CLASSES, but you have not set SESSION_COOKIE_HTTPONLY to True. Using an HttpOnly session cookie makes it more difficult for cross-site scripting attacks to hijack user sessions.

• security.W015: SESSION_COOKIE_HTTPONLY não está definido como True. Usando uma cookie de sessão como HttpOnly torna mais difícil um ataque de script extra-site capturar sessões de usuários.

• security.W016: CSRF_COOKIE_SECURE não está como True. Usando a “secure-only” para a “cookie” CSRF torna mais difícil para um “sniffer” de tráfego de rede roubar o token CSRF.

• security.W017: CSRF_COOKIE_HTTPONLY não está como True. Usando o HttpOnly da “cookie” CSRF torna mais difícil para um ataque de cript extra-site de roubar o token CSRF.

• security.W018: Você não deve definir DEBUG como True em produção.

• security.W019: You have django.middleware.clickjacking.XFrameOptionsMiddleware in your MIDDLEWARE/MIDDLEWARE_CLASSES, but X_FRAME_OPTIONS is not set to 'DENY'. The default is 'SAMEORIGIN', but unless there is a good reason for your site to serve other parts of itself in a frame, you should change it to 'DENY'.

• security.W020: ALLOWED_HOSTS não deve estar vazio durante a implantação.

Sites¶

As verificações seguintes são realizadas em qualquer modelo usando uma CurrentSiteManager:

• sites.E001: CurrentSiteManager não pode achar um campo chamado <field name>.

• sites.E002: CurrentSiteManager cannot use <field> as it is not a foreign key or a many-to-many field.

Banco de dados¶

Templates¶

As verificações seguintes averiguam se sua definição de TEMPLATES está corretamente configurada.

• templates.E001: Você tem 'APP_DIRS': True no seu TEMPLATES mas também especifica o 'loaders' nas OPTIONS. Ou remova o APP_DIRS ou a opção 'loaders'.

• templates.E002: string_if_invalid in TEMPLATES OPTIONS must be a string but got: {value} ({type}).

Caches¶

As verificações seguintes averiguam se seu CACHES está configurado corretamente:

• caches.E001: Você deve definir um cache 'default' para a definição de CACHES.

URLs¶

As verificações seguintes são realizadas na sua configuração de URL:

• urls.W001: Seu formato padrão <pattern> usa include() com uma regex terminando com um $. Remova o “dollar” da regex para evitar problemas com includes de URLs.

• urls.W002: Your URL pattern <pattern> has a regex beginning with a /. Remove this slash as it is unnecessary. If this pattern is targeted in an include(), ensure the include() pattern has a trailing /.

• urls.W003: Seu formato padrão de <pattern> tem um name incluindo um :. Remova os dois-pontos para evitar referências anbíguas de domínios baseados em nomes.

• urls.E004: Your URL pattern <pattern> is invalid. Ensure that urlpatterns is a list of url() instances.