Djangoリダイレクトの究極のガイド

パス「/hello/」を処理する「Hello World」ビューを持つDjangoアプリケーションを作成したと仮定します。 Django開発サーバーでアプリケーションを実行しているため、完全なURLは `+ http：//127.0.0.1：8000/hello/+`です。

ブラウザにそのURLを入力すると、サーバーのIPアドレス「127.0.0.1」でポート「8000」に接続し、パス「/hello/」に対してHTTP「+ GET +」リクエストを送信します`。 サーバーはHTTP応答で応答します。

HTTPはテキストベースであるため、クライアントとサーバーの間を行き来するのは比較的簡単です。 コマンドラインツールhttps://curl.haxx.se/docs/manpage.html [+ curl +]をオプション `+-include +`とともに使用して、ヘッダーを含む完全なHTTPレスポンスを確認できます。このような：

ご覧のとおり、HTTP応答は、ステータスコードとステータスメッセージを含むステータス行で始まります。 ステータス行の後には、任意の数のHTTPヘッダーが続きます。 空の行は、ヘッダーの終わりと応答本文の始まりを示し、サーバーが送信する実際のデータが含まれます。

リダイレクト応答はどのように見えますか？ パス `/redirect/`が前述の `+ redirect_view（）`によって処理されると仮定します。 ` curl `で ` http：//127.0.0.1：8000/redirect/+`にアクセスすると、コンソールは次のようになります。

2つの応答は似ているように見えますが、いくつかの重要な違いがあります。 リダイレクト：

主な差別化要因はステータスコードです。 HTTP標準の仕様には、次のことが記載されています。

_ 302（Found）ステータスコードは、ターゲットリソースが一時的に別のURIの下にあることを示します。 リダイレクションは時々変更されるかもしれないので、クライアントは将来のリクエストに有効なリクエストURIを使い続けるべきです。 サーバーは、異なるURIのURI参照を含む応答にLocationヘッダーフィールドを生成する必要があります。 ユーザーエージェントは、自動リダイレクトにロケーションフィールド値を使用してもよい[MAY]。 （https://tools.ietf.org/html/rfc7231#section-6.4 [ソース]） _

つまり、サーバーが「302」のステータスコードを送信するたびに、クライアントに「ちょっと、今、探しているものはこの別の場所で見つかる」と言います。

仕様のキーフレーズは、「自動リダイレクトにLocationフィールドの値を使用できます」です。つまり、クライアントに別のURLを強制的にロードさせることはできません。 クライアントは、ユーザーの確認を待つか、URLをまったくロードしないかを選択できます。

リダイレクトは、 `+ 3xx `ステータスコードと ` Location `ヘッダーを持つ単なるHTTPレスポンスであることがわかりました。 ここで重要なことは、HTTPリダイレクトは古いHTTP応答と似ていますが、空の本文、3xxステータスコード、および ` Location +`ヘッダーがあることです。

それでおしまい。 これを一時的にDjangoに結び付けますが、最初に、その「+ 3xx +」ステータスコード範囲内の2種類のリダイレクトを見て、Web開発に関してそれらが重要な理由を見てみましょう。

HTTP標準では、すべてが+ 3xx の範囲にあるいくつかのリダイレクトステータスコードを指定しています。 最も一般的な2つのステータスコードは、「 301 Permanent Redirect +」と「+302 Found +」です。

ステータスコード「+302 Found +」は一時的なリダイレクトを示します。 一時的なリダイレクトでは、「現時点では、探しているものはこの別のアドレスで見つけることができます。」 「店舗は現在改装工事のため閉鎖されています。 角を曲がったところにある他の店に行ってください。」これは一時的なものであるため、次に買い物をするときに元の住所を確認します。

注意： HTTP 1.0では、ステータスコード302のメッセージは `+ Temporary Redirect `でした。 メッセージはHTTP 1.1で ` Found +`に変更されました。

名前が示すように、永続的なリダイレクトは永続的であると想定されています。 永続的なリダイレクトはブラウザに次のように伝えます。「探しているのはこのアドレスではなくなりました。 現在はこの新しい住所にあり、以前の住所に戻ることはありません。」

永続的なリダイレクトは、「移動しました。 新しい店がすぐ近くにあります。」この変更は永続的なものであるため、次回店舗に行きたいときには、新しい住所に直行します。

*注：*永続的なリダイレクトは、意図しない結果をもたらす可能性があります。 永続的なリダイレクトを使用する前にこのガイドを終了するか、「永続的なリダイレクトは永続的です」セクションに直接ジャンプしてください。

ブラウザは、リダイレクトを処理するときも同様に動作します。URLが永続的なリダイレクト応答を返すと、この応答はキャッシュされます。 ブラウザが次に古いURLに遭遇すると、リダイレクトを記憶し、新しいアドレスを直接要求します。

リダイレクトをキャッシュすると、不要なリクエストが保存され、ユーザーエクスペリエンスが向上し、高速になります。

さらに、一時リダイレクトと永続リダイレクトの区別は、検索エンジン最適化に関連しています。

`+ HttpResponse `のサブクラスであるクラス ` HttpResponseRedirect +`を使用すると、入力の手間を省くことができます。 リダイレクトするURLを最初の引数としてクラスをインスタンス化するだけで、クラスは正しいステータスとLocationヘッダーを設定します：

Pythonシェルで `+ HttpResponseRedirect +`クラスを再生して、何が得られているかを確認できます。

>>>

永続的なリダイレクト用のクラスもあり、これは適切に「+ HttpResponsePermanentRedirect 」という名前が付けられています。 ` HttpResponseRedirect `と同じように機能しますが、唯一の違いは、ステータスコードが `+301（Moved Permanently）`であることです。

*注意：*上記の例では、リダイレクトURLはハードコードされています。 URLをハードコーディングすることは悪い習慣です。URLが変更された場合、すべてのコードを検索して、出現箇所を変更する必要があります。 それを修正しましょう！

https://docs.djangoproject.com/en/2.1/ref/urlresolvers/#reverse [+ django.urls.reverse（）+]を使用してURLを作成できますが、より便利な方法があります次のセクションで説明します。

生活を楽にするために、Djangoは、はじめに紹介した汎用性の高いショートカット機能を提供しています：https://docs.djangoproject.com/en/2.1/topics/http/shortcuts/#redirect[`django.shortcuts。 redirect（） `]。

この関数を呼び出すには：

引数をURLに変換し、 `+ HTTPResponseRedirect `を返すために適切な手順を実行します。 ` permanent = True `を渡すと、 ` HttpResponsePermanentRedirect +`のインスタンスが返され、永続的なリダイレクトが行われます。

さまざまなユースケースを説明する3つの例を次に示します。

+ + redirect（）+`は `+ product.get_absolute_url（）+`を呼び出し、その結果をリダイレクトターゲットとして使用します。 指定されたクラス（この場合は `+ Product +）に `+ get_absolute_url（）`メソッドがない場合、これは ` TypeError +`で失敗します。 . URL名と引数を渡す：

+ `+ redirect（）+`は、指定された引数を使用してURLを反転しようとします。 この例では、URLパターンに次のようなパターンが含まれていることを前提としています。

+ `+ redirect（）`は、 `/`または `。+`を含む文字列をURLとして扱い、リダイレクトターゲットとして使用します。

リダイレクトを返すだけのビューがある場合は、クラスベースのビューhttps://docs.djangoproject.com/en/2.1/ref/class-based-views/base/#redirectview[`+ django.views.generic.base.RedirectView + `]。

さまざまな属性を使用して、ニーズに合わせて `+ RedirectView +`を調整できます。

クラスに `+ .url +`属性がある場合、リダイレクトURLとして使用されます。 文字列フォーマットのプレースホルダーは、URLの名前付き引数に置き換えられます。

URLパターンは引数 `+ term `を定義します。これはリダイレクトURLを構築するために ` SearchRedirectView `で使用されます。 アプリケーションのパス `/search/kittens/`は、 ` https://google.com/？q = kittens +`にリダイレクトします。

+ urldirect`属性を上書きするために + RedirectView + をサブクラス化する代わりに、 + urlpatterns + でキーワード引数 + url + を + as_view（）+ `に渡すこともできます。

また、 `+ get_redirect_url（）+`を上書きして、完全にカスタムの動作を取得することもできます。

このクラスベースのビューは、 `+ .animal_urls +`からランダムに選択されたURLにリダイレクトします。

`+ django.views.generic.base.RedirectView +`には、カスタマイズのためのフックがいくつか用意されています。 これが完全なリストです：

*注意：*クラスベースのビューは強力な概念ですが、頭を包むのが少し難しい場合があります。 コードの流れをたどるのが比較的簡単な通常の関数ベースのビューとは異なり、クラスベースのビューは、ミックスインと基本クラスの複雑な階層で構成されています。

クラスベースのビュークラスを理解するための優れたツールは、Webサイトhttp://ccbv.co.uk/[Classy Class-Based Views]です。

この単純な関数ベースのビューを使用して、上記の例の `+ RandomAnimalView +`の機能を実装できます。

ご覧のように、クラスベースのアプローチは、隠れた複雑さを追加する一方で、明らかな利点を提供しません。 それは疑問を提起します：いつ `+ RedirectView +`を使うべきですか？

`+ urls.py `にリダイレクトを直接追加したい場合、 ` RedirectView `を使用するのが理にかなっています。 しかし、 ` get_redirect_url +`を上書きしていることに気付いた場合、関数ベースのビューは理解しやすく、将来の機能強化のためにより柔軟になるかもしれません。

場合によっては、リダイレクト先のビューにいくつかのパラメーターを渡したいことがあります。 最適なオプションは、リダイレクトURLのクエリ文字列でデータを渡すことです。つまり、次のようなURLにリダイレクトします。

`+ some_view（）`から ` product_view（）`にリダイレクトしたいが、オプションのパラメーター ` category +`を渡すと仮定します。

この例のコードは非常に高密度なので、手順を追って説明しましょう。

*注意：*クエリ文字列から読み取るデータは必ず検証してください。 リダイレクトURLを作成したため、このデータは管理下にあるように思われるかもしれません。

実際には、リダイレクトはユーザーによって操作される可能性があり、他のユーザー入力のように信頼されてはなりません。 適切な検証を行わないと、https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control [攻撃者が不正アクセスを取得できる可能性があります]。

Djangoは、ステータスコード `+ 301 `および ` 302 `のHTTP応答クラスを提供します。 これらはほとんどのユースケースをカバーするはずですが、ステータスコード「+303 +」、「 307+」、または「308」を返す必要がある場合、独自のレスポンスクラスを簡単に作成できます。 `+ HttpResponseRedirectBase `をサブクラス化し、 ` status_code +`属性を上書きするだけです：

または、 `+ django.shortcuts.redirect（）+`メソッドを使用して、応答オブジェクトを作成し、戻り値を変更できます。 この方法は、ビューまたはURLの名前、またはリダイレクト先のモデルがある場合に意味があります。

*注意：*ステータスコードが「+ 3xx 」の範囲にある3番目のクラスがあります。ステータスコードが「+304」の「+ HttpResponseNotModified +」です。 コンテンツURLが変更されておらず、クライアントがキャッシュバージョンを使用できることを示しています。

「+304 Not Modified +」レスポンスはキャッシュされたバージョンのURLにリダイレクトされると主張することもできますが、それは少しばかりです。 その結果、HTTP標準のhttps://tools.ietf.org/html/rfc7231#section-6.4[「Redirection3xx」セクション]にはリストされなくなりました。

`+ django.shortcuts.redirect（）+`の単純さは欺くことができます。 関数自体はリダイレクトを実行しません。リダイレクト応答オブジェクトを返すだけです。 ビューから（またはミドルウェアで）この応答オブジェクトを返す必要があります。 それ以外の場合、リダイレクトは行われません。

ただし、 `+ redirect（）+`を呼び出すだけでは不十分であることがわかっていても、単純なリファクタリングを行うことで、このバグを動作中のアプリケーションに簡単に導入できます。 以下に例を示します。

ショップを建設していて、製品を表示するビューを持っていると仮定しましょう。 製品が存在しない場合、ホームページにリダイレクトします：

次に、製品の顧客レビューを表示する2番目のビューを追加します。 また、存在しない製品のホームページにリダイレクトする必要があるため、最初のステップとして、この機能を `+ product_view（）`からヘルパー関数 ` get_product_or_redirect（）+`に抽出します。

残念ながら、リファクタリング後、リダイレクトは機能しなくなりました。

リダイレクトを処理する場合、URL AがURL Aへのリダイレクトを返すURL Bを指すリダイレクトをURL Aに返すなどして、誤ってリダイレクトループを作成する可能性があります。 ほとんどのHTTPクライアントは、この種類のリダイレクトループを検出し、多数のリクエストの後にエラーメッセージを表示します。

残念ながら、この種のバグは、サーバー側ではすべてが正常に見えるため、見つけるのが難しい場合があります。 ユーザーが問題について苦情を言わない限り、何かが間違っている可能性があることを示す唯一の兆候は、1つのクライアントから多数のリクエストがあり、その結果すべてが迅速に連続してリダイレクトレスポンスになりますが、「+ 200 OK +」のレスポンスがないことです状態。

リダイレクトループの簡単な例を次に示します。

この例は原理を示していますが、非常に単純です。 現実の世界で遭遇するリダイレクトループは、おそらく見つけにくいでしょう。 より複雑な例を見てみましょう：

`+ featured_products_view（）`はすべての注目製品、つまり ` .featured `が ` True `に設定された ` Product `インスタンスを取得します。 特色のある製品が1つだけ存在する場合、 ` product_view（）`に直接リダイレクトされます。 それ以外の場合は、 ` featured_products +`クエリセットを使用してテンプレートをレンダリングします。

`+ product_view +`は前のセクションからおなじみに見えますが、2つの小さな違いがあります。

このロジックは、ショップが成功の犠牲者になり、現在お持ちの機能製品が在庫切れになるまで正常に機能します。 `+ .in_stock `を ` False `に設定したが、 ` .featured `を ` False `に設定することを忘れると、 ` feature_product_view（）+`への訪問者はリダイレクトループでスタックします。 。

この種のバグを防ぐ防弾の方法はありませんが、適切な出発点は、リダイレクト先のビューがリダイレクト自体を使用しているかどうかを確認することです。

パーマネントリダイレクトは悪いタトゥーのようなものです。それらは当時は良いアイデアのように思えるかもしれませんが、一度間違いだと気づいたら、それらを取り除くのは非常に困難です。

ブラウザがURLの永続的なリダイレクト応答を受信すると、この応答を無期限にキャッシュします。 将来、古いURLをリクエストするたびに、ブラウザはそのURLをロードせずに、新しいURLを直接ロードします。

ブラウザーに、永続的なリダイレクトを返したURLをロードするように説得するのは非常に難しい場合があります。 Google Chromeは、リダイレクトのキャッシュに関して特に積極的です。

なぜこれが問題になるのでしょうか？

Djangoを使用してWebアプリケーションを構築するとします。 ドメインを「+ myawesomedjangowebapp.com 」で登録します。 最初のステップとして、ブログアプリを ` https://myawesomedjangowebapp.com/blog/+`にインストールして、起動メーリングリストを作成します。

サイトの「+ https://myawesomedjangowebapp.com/」のホームページはまだ作成中なので、「 https://myawesomedjangowebapp.com/blog/+」にリダイレクトします。 パーマネントリダイレクトはキャッシュされると聞いたため、パーマネントリダイレクトを使用することにしました。キャッシュはGoogleの検索結果のランキングの要因であるため、キャッシングはより高速になります。

結局のところ、あなたは優れた開発者であるだけでなく、才能のある作家でもあります。 ブログが人気になり、ローンチメーリングリストが拡大します。 数か月後、アプリの準備が整います。 現在、光沢のあるホームページがあり、最終的にリダイレクトを削除します。

特別な割引コードを記載したアナウンスメールを、かなり大きなローンチメーリングリストに送信します。 身を乗り出し、サインアップ通知が届くのを待ちます。

恐ろしいことに、メールボックスには、アプリにアクセスしたいが、常にブログにリダイレクトされている混乱した訪問者からのメッセージがいっぱいになります。

何が起きたの？ あなたのブログの読者は、 `+ https://myawesomedjangowebapp.com/blog/`へのリダイレクトがまだアクティブなときに ` https://myawesomedjangowebapp.com/+`にアクセスしていました。 これは永続的なリダイレクトであるため、ブラウザにキャッシュされていました。

ローンチアナウンスメールのリンクをクリックしても、ブラウザーは新しいホームページを確認することをせず、ブログに直接アクセスしました。 成功したローンチを祝うのではなく、ユーザーに `+ chrome：//net-internals +`をいじってブラウザのキャッシュをリセットする方法をユーザーに指示するのに忙しくしています。

永続的なリダイレクトの永続的な性質は、ローカルマシンでの開発中に噛みつくこともあります。 myawesomedjangowebapp.comにその運命的なパーマネントリダイレクトを実装した瞬間に巻き戻しましょう。

開発サーバーを起動して、「+ http：//127.0.0.1：8000/」を開きます。 意図したとおり、アプリはブラウザを ` http：//127.0.0.1：8000/blog/+`にリダイレクトします。 作業に満足したら、開発サーバーを停止して昼食に行きます。

あなたは完全な腹を持って戻り、クライアントの仕事に取り組む準備ができています。 クライアントはホームページの簡単な変更を望んでいるので、クライアントのプロジェクトをロードして開発サーバーを起動します。

しかし、ここで何が起こっているのでしょうか？ ホームページは壊れており、404を返します！ 午後の不調により、クライアントのプロジェクトには存在しない `+ http：//127.0.0.1：8000/blog/+`にリダイレクトされていることに気付くまでに時間がかかります。

ブラウザにとって、URL「+ http：//127.0.0.1：8000/」が完全に異なるアプリケーションに対応するようになったことは問題ではありません。 ブラウザにとって重要なのは、過去に一度このURLが ` http：//127.0.0.1：8000/blog/+`への永続的なリダイレクトを返したことだけです。

この話から得られることは、今後二度と使用するつもりのないURLに対してのみ永続的なリダイレクトを使用することです。 恒久的なリダイレクトの場所がありますが、その結果に注意する必要があります。

本当に恒久的なリダイレクトが必要であると確信している場合でも、最初に一時的なリダイレクトを実装し、すべてが意図したとおりに機能することを100％確信できたら、恒久的な従兄弟に切り替えることをお勧めします。

セキュリティの観点から、リダイレクトは比較的安全な手法です。 攻撃者はリダイレクトを使用してWebサイトをハッキングすることはできません。 結局のところ、リダイレクトは、攻撃者がブラウザのアドレスバーに入力するだけのURLにリダイレクトするだけです。

ただし、リダイレクトURLとして適切に検証せずに、URLパラメーターなどの何らかの種類のユーザー入力を使用すると、フィッシング攻撃のために攻撃者に悪用される可能性があります。 この種のリダイレクトは、https://cwe.mitre.org/data/definitions/601.html [オープンまたは未検証のリダイレクト]と呼ばれます。

ユーザー入力から読み取られたURLにリダイレクトするための正当なユースケースがあります。 代表的な例は、Djangoのログインビューです。 ログイン後にユーザーがリダイレクトされるページのURLを含むURLパラメーター `+ next +`を受け入れます。 ログイン後にユーザーをプロファイルにリダイレクトするには、URLは次のようになります。

Djangoは `+ next +`パラメータを検証しますが、しばらくは検証しないと仮定します。

検証がなければ、攻撃者はURLを作成して、ユーザーを自分の管理下にあるWebサイトにリダイレクトする可能性があります。例

Webサイト `+ myawesomedjangowebapp.co +`はエラーメッセージを表示し、ユーザーに資格情報の再入力を促します。

オープンリダイレクトを回避する最善の方法は、リダイレクトURLを作成するときにユーザー入力を使用しないことです。

URLがリダイレクトに対して安全であることを確認できない場合は、関数 `+ django.utils.http.is_safe_url（）+`を使用して検証できます。 docstringはその使用法を非常によく説明しています：

_ _ + is_safe_url（url、host = None、allowed_hosts = None、require_https = False）+

URLが安全なリダイレクトである場合（つまり、 別のホストを指すものではなく、安全なスキームを使用しています）。 空のURLでは常に `+ False `を返します。 「 require_https 」が「 True 」の場合、デフォルトの「 False +」の「http」および「https」とは対照的に、「https」のみが有効なスキームと見なされます。 （https://github.com/django/django/blob/53a3d2b2454ff9a612a376f58bb7c61733f82d12/django/utils/http.py#L280 [ソース]） _ _

いくつかの例を見てみましょう。

相対URLは安全と見なされます。

>>>

別のホストを指すURLは一般に安全とは見なされません。

>>>

ホストが `+ allowed_hosts +`で提供されている場合、別のホストを指すURLは安全と見なされます。

>>>

引数 `+ require_https `が ` True `の場合、 ` http +`スキームを使用したURLは安全とは見なされません。

>>>