Relatório de erro¶
Quando estiver rondando um site público você deve sempre desligar a definição DEBUG
. Isso fará que seu servidor rode bem mais rápido, e também irá evitar que usuários maliciosos vejam detalhes da sua aplicação que podem ser revelados por erros em suas páginas.
However, running with DEBUG
set to False
means you’ll never see
errors generated by your site – everyone will instead see your public error
pages. You need to keep track of errors that occur in deployed sites, so Django
can be configured to create reports with details about those errors.
Relatórios por email.¶
Erros do servidor¶
Quando DEBUG
é False
, Django irá enviar um email aos usuários listados no ADMINS
mesmo que seu código levante uma exceção e resulte em um erro interno ( falando estritamente, para qualquer response com um código de status de 500 ou maior). Isso dá ao administrador uma notificação imediata de quaisquer erros. Os ADMINS
irão rceber uma descrição do erro, um Traceback completo do Python, e detalhes da requisição HTTP causada pelo erro.
Nota
Para enviar o email, o Django requer algumas configurações dizendo a ele como se conectar ao seu servidor de email. No mínimo é necessário especificar EMAIL_HOST
e possivelmente EMAIL_HOST_USER
e EMAIL_HOST_PASSWORD
, embora outras configurações tambem sejam requeridas dependendo da configuração do seu servidor de email. Consulte o Documentação de configurações do Django para uma lista completa de configurações relacionadas a email.
Por padrão, o Django envia email do root@localhost. Contudo, alguns provedores de email rejeitam todos os email deste endereço. Para usar um endereço de remetente diferente, modifique a configuração SERVER_EMAIL
Para ativar este comportamento, coloque o endereço de email dos destinatários na definição do ADMINS
Ver também
Emails de erros de servidores são enviados usando o framework de log, e você pode customizár seu comportamento por customizando sua configuração de log.
Erros 404¶
O Django pode ser configurado para enviar emails com erros sobre links quebrados (erros 404 “página não encontrada”). O Django envia emails com erros 404 quando:
DEBUG
éFalse
;- Sua definição de
MIDDLEWARE
incluedjango.middleware.common.BrokenLinkEmailsMiddleware
.
If those conditions are met, Django will email the users listed in the
MANAGERS
setting whenever your code raises a 404 and the request has
a referer. It doesn’t bother to email for 404s that don’t have a referer –
those are usually people typing in broken URLs or broken Web bots. It also
ignores 404s when the referer is equal to the requested URL, since this
behavior is from broken Web bots too.
Nota
A BrokenLinkEmailsMiddleware
deve aparecer antes de outros middlewares que interceptam erros 404, tal como LocaleMiddleware
ou FlatpageFallbackMiddleware
. Coloque-os mais próximo do topo da sua definição do MIDDLEWARE
.
Você pode dizer ao Django para parar de reportar 404s ajustando a definição do IGNORABLE_404_URLS
. Isso deve ser uma lista de objetos compilados de expressões regulares. Por exeplo:
import re
IGNORABLE_404_URLS = [
re.compile(r'\.(php|cgi)$'),
re.compile(r'^/phpmyadmin/'),
]
Neste exemplo, um 404 para qualquer URL com .php``ou ``.cgi
não será reportado. Nem nenhuma URL começando com /phpadmin/
.
O exemplo seguinte mostra como excluir algumas URLs convencionais que “borwsers” e “crawlers” requisitam com frequência.
import re
IGNORABLE_404_URLS = [
re.compile(r'^/apple-touch-icon.*\.png$'),
re.compile(r'^/favicon\.ico$'),
re.compile(r'^/robots\.txt$'),
]
(repare que essas são expressões regulares, então coloca-se uma barra invertida na frente dos pontos para que não sejam substituidos.)
Se quer personalizar o comportamentdo do django.middleware.common.BrokenLinkEmailsMiddleware
mais adiante (por exemplo para ignorar requisições vindas de rastreadores web), você deve criar uma subclasse e sobrescreva seus métodos.
Ver também
Erros 404 são logados usando o framework logging. Por padrão, estes registros de log são ignorados, mas você pode usá-los para relatório de erros sobrescrevendo o “handlers” e o configuring logging apropriadamente.
Filtrando relatórios de erros¶
Aviso
A filtragem de dados confidenciais é um problema difícil, e é quase impossível garantir que os dados confidenciais não vazarão em um relatório de erros. Portanto, os relatórios de erros só devem estar disponíveis para membros confiáveis da equipe e você deve evitar a transmissão de relatórios de erros não encriptados pela Internet (como por e-mail).
Filtrando Informações sensíveis¶
Relatórios de erros são de grande ajuda para detectar falhas, sempre é util registrar o máximo de informação sobre falhas quanto possível. Por exemplo, por padrão o Django registra
Algumas vezes certos tipos de informação talvez sejam muito sensíveis e talvez não seja apropriado manter rastros, por exemplo uma senha de usuário ou número do cartão de crédito. Então para filtrar definições que aparentam ser sensíveis como descrito na documentação do DEBUG
, o Django oferece um conjunto de decoradores de função para auxiliar no controle de qual informação deve ser filtrada para fora dos relatórios de erro em um ambiente de produção (isto é, onde DEBUG
é definido como False
): sensitive_variables()
e sensitive_post_parameters()
.
-
sensitive_variables
(*variables)¶ Se uma função (uma view ou callback) no seu código usa variavéis locais que venham guardar informação sigilosa, voce deve reguasdar o valor dessas variavéis de serem expostas nos relatórios de erros usando o decorator ‘’sensitive_variables’’
from django.views.decorators.debug import sensitive_variables @sensitive_variables('user', 'pw', 'cc') def process_info(user): pw = user.pass_word cc = user.credit_card_number name = user.name ...
In the above example, the values for the
user
,pw
andcc
variables will be hidden and replaced with stars (**********
) in the error reports, whereas the value of thename
variable will be disclosed.Para esconder sistematicamente todas as variáveis locais de uma fução dos logs de erros, não forneça argumento ao decorador
sensitive_variables
:@sensitive_variables() def my_function(): ...
Quando usar multiplos decorators
Se a variável que você quer esconder é também um argumento da função (ex.:
user
no exemplo a seguir), e si a função “decorada” tem múltimplos “decorators”, então tenha certeza de posiionar o@sensitive_variables
no topo da lista de “decorators”. Desta maneira, serão escondidos também o argumento da função enquanto passa pelos outros “decorators”:@sensitive_variables('user', 'pw', 'cc') @some_decorator @another_decorator def process_info(user): ...
-
sensitive_post_parameters
(*parameters)¶ Se uma de suas “views” recebe um objeto
HttpRequest
comparâmetros do POST
suscetível a conter informação sensível, é possível evitar que os valores destes parâmetros sejam incluídos no relatório de erros usando o “decorator”sensitive_post_parameters
from django.views.decorators.debug import sensitive_post_parameters @sensitive_post_parameters('pass_word', 'credit_card_number') def record_user_profile(request): UserProfile.create( user=request.user, password=request.POST['pass_word'], credit_card=request.POST['credit_card_number'], name=request.POST['name'], ) ...
In the above example, the values for the
pass_word
andcredit_card_number
POST parameters will be hidden and replaced with stars (**********
) in the request’s representation inside the error reports, whereas the value of thename
parameter will be disclosed.Para esconder sistematicamente todos os parâmetros do POST de uma requisição em um relatório de erro relatório, não forneça nenhum arguento para o “decorator”
sensitive_post_parameters
:@sensitive_post_parameters() def my_view(request): ...
Todos os parâmentros do POST são sistematicamente filtrados do relatório para certas “views”
django.contrib.auth.views
(login
,password_reset_confirm
,password_change
, eadd_view
euser_change_password
noauth
admin) para prevenir o vazamento de informação sensível tal como as senhas de usuários.
Relatórios de erros personalizados¶
All sensitive_variables()
and sensitive_post_parameters()
do is,
respectively, annotate the decorated function with the names of sensitive
variables and annotate the HttpRequest
object with the names of sensitive
POST parameters, so that this sensitive information can later be filtered out
of reports when an error occurs. The actual filtering is done by Django’s
default error reporter filter:
django.views.debug.SafeExceptionReporterFilter
. This filter uses the
decorators’ annotations to replace the corresponding values with stars
(**********
) when the error reports are produced. If you wish to
override or customize this default behavior for your entire site, you need to
define your own filter class and tell Django to use it via the
DEFAULT_EXCEPTION_REPORTER_FILTER
setting:
DEFAULT_EXCEPTION_REPORTER_FILTER = 'path.to.your.CustomExceptionReporterFilter'
Você pode controlar de uma maneira mais granular qual filtro usar dentro de qualquer “view” configurando o atributo exception_reporter_filter
do HttpRequest
:
def my_view(request):
if request.user.is_authenticated:
request.exception_reporter_filter = CustomExceptionReporterFilter()
...
Your custom filter class needs to inherit from
django.views.debug.SafeExceptionReporterFilter
and may override the
following attributes and methods:
-
class
SafeExceptionReporterFilter
¶ -
cleansed_substitute
¶ - New in Django 3.1.
The string value to replace sensitive value with. By default it replaces the values of sensitive variables with stars (
**********
).
- New in Django 3.1.
A compiled regular expression object used to match settings and
request.META
values considered as sensitive. By default equivalent to:import re re.compile(r'API|TOKEN|KEY|SECRET|PASS|SIGNATURE', flags=re.IGNORECASE)
-
is_active
(request)¶ Returns
True
to activate the filtering inget_post_parameters()
andget_traceback_frame_variables()
. By default the filter is active ifDEBUG
isFalse
. Note that sensitiverequest.META
values are always filtered along with sensitive setting values, as described in theDEBUG
documentation.
-
get_post_parameters
(request)¶ Returns the filtered dictionary of POST parameters. Sensitive values are replaced with
cleansed_substitute
.
-
get_traceback_frame_variables
(request, tb_frame)¶ Returns the filtered dictionary of local variables for the given traceback frame. Sensitive values are replaced with
cleansed_substitute
.
-
If you need to customize error reports beyond filtering you may specify a
custom error reporter class by defining the
DEFAULT_EXCEPTION_REPORTER
setting:
DEFAULT_EXCEPTION_REPORTER = 'path.to.your.CustomExceptionReporter'
The exception reporter is responsible for compiling the exception report data,
and formatting it as text or HTML appropriately. (The exception reporter uses
DEFAULT_EXCEPTION_REPORTER_FILTER
when preparing the exception
report data.)
Your custom reporter class needs to inherit from
django.views.debug.ExceptionReporter
.
-
class
ExceptionReporter
¶ -
get_traceback_data
()¶ Return a dictionary containing traceback information.
This is the main extension point for customizing exception reports, for example:
from django.views.debug import ExceptionReporter class CustomExceptionReporter(ExceptionReporter): def get_traceback_data(self): data = super().get_traceback_data() # ... remove/add something here ... return data
-
get_traceback_html
()¶ Return HTML version of exception report.
Used for HTML version of debug 500 HTTP error page.
-
get_traceback_text
()¶ Return plain text version of exception report.
Used for plain text version of debug 500 HTTP error page and email reports.
-
As with the filter class, you may control which exception reporter class to use
within any given view by setting the HttpRequest
’s
exception_reporter_class
attribute:
def my_view(request):
if request.user.is_authenticated:
request.exception_reporter_class = CustomExceptionReporter()
...
Ver também
Você pode também configurar um relatório de erro personalizado escrevendo um pedaço personalizado middleware de exceção. Se escrever um tratamento de erros personalizado, é uma boa idéia emular o tratamento de erro do Django e somente reportar/logar erros se DEBUG
é False
.