Главное руководство по редиректам Django

Предположим, вы создали приложение Django с представлением «Hello World», которое обрабатывает путь «/hello/». Вы запускаете свое приложение на сервере разработки Django, поэтому полный URL-адрес: + http://127.0.0.1: 8000/hello/+.

Когда вы вводите этот URL в браузер, он подключается к порту + 8000 + на сервере с IP-адресом + 127.0.0.1 + и отправляет HTTP-запрос + GET + для пути `/hello/ `. Сервер отвечает HTTP-ответом.

HTTP основывается на тексте, поэтому относительно легко переключаться между клиентом и сервером. Вы можете использовать инструмент командной строки https://curl.haxx.se/docs/manpage.html [+ curl +] с параметром + - include +, чтобы просмотреть полный HTTP-ответ, включая заголовки, как это:

Как видите, HTTP-ответ начинается со строки состояния, которая содержит код состояния и сообщение о состоянии. За строкой состояния следует произвольное количество заголовков HTTP. Пустая строка указывает конец заголовков и начало тела ответа, которое содержит фактические данные, которые сервер хочет отправить.

Как выглядит ответ перенаправления? Предположим, что путь /redirect/ обрабатывается + redirect_view () +, показанным ранее. Если вы обращаетесь к + http://127.0.0.1: 8000/redirect/+ с помощью + curl +, ваша консоль выглядит следующим образом:

Эти два ответа могут выглядеть одинаково, но есть некоторые ключевые различия. Редирект:

Основным отличием является код статуса. Спецификация стандарта HTTP гласит следующее:

_ Код состояния 302 (Найдено) указывает, что целевой ресурс временно находится под другим URI. Поскольку перенаправление может иногда изменяться, клиент должен продолжать использовать эффективный URI запроса для будущих запросов. Серверу СЛЕДУЕТ генерировать поле заголовка Location в ответе, содержащее ссылку на URI для другого URI. Пользовательский агент МОЖЕТ использовать значение поля Location для автоматического перенаправления. (Https://tools.ietf.org/html/rfc7231#section-6.4[Source]) _

Другими словами, всякий раз, когда сервер отправляет код состояния «+ 302 +», он говорит клиенту: «Эй, сейчас то, что вы ищете, можно найти в этом другом месте».

Ключевая фраза в спецификации: «МОЖЕТ использовать значение поля Location для автоматического перенаправления». Это означает, что вы не можете заставить клиента загрузить другой URL. Клиент может выбрать ожидание подтверждения пользователя или отказаться от загрузки URL-адреса вообще.

Теперь вы знаете, что перенаправление - это просто HTTP-ответ с кодом состояния «+ 3xx » и заголовком « Location ». Ключевым моментом здесь является то, что перенаправление HTTP похоже на любой старый ответ HTTP, но с пустым телом, кодом статуса 3xx и заголовком ` Location +`.

Это оно. Мы ненадолго свяжем это с Django, но сначала давайте взглянем на два типа перенаправлений в этом диапазоне кодов состояния «+ 3xx +» и посмотрим, почему они имеют значение, когда дело доходит до веб-разработки.

Стандарт HTTP определяет несколько кодов состояния перенаправления, все в диапазоне «+ 3xx +». Двумя наиболее распространенными кодами состояния являются «+301 Permanent Redirect +» и «+302 Found +».

Код состояния +302 Found + указывает на временное перенаправление. Временный редирект говорит: «В данный момент то, что вы ищете, можно найти по этому другому адресу». Думайте об этом как о вывеске магазина: «Наш магазин в настоящее время закрыт на ремонт. Пожалуйста, зайдите в наш другой магазин за углом. Поскольку это только временно, вы будете проверять оригинальный адрес при следующем посещении магазина.

Как следует из названия, постоянные перенаправления должны быть постоянными. Постоянное перенаправление говорит браузеру: «То, что вы ищете, больше не находится по этому адресу. Теперь он находится по этому новому адресу и никогда больше не будет по старому адресу ».

Постоянное перенаправление похоже на вывеску магазина: «Мы переехали. Наш новый магазин не за горами ». Это изменение является постоянным, поэтому в следующий раз, когда вы захотите пойти в магазин, вы сразу перейдете на новый адрес.

Браузеры ведут себя аналогично при обработке перенаправлений: когда URL-адрес возвращает постоянный ответ на перенаправление, этот ответ кэшируется. В следующий раз, когда браузер обнаруживает старый URL-адрес, он запоминает перенаправление и напрямую запрашивает новый адрес.

Кэширование перенаправления сохраняет ненужный запрос и обеспечивает лучший и быстрый пользовательский опыт.

Кроме того, различие между временными и постоянными перенаправлениями имеет значение для поисковой оптимизации.

Вы можете сэкономить некоторую печать с помощью класса + HttpResponseRedirect +, подкласса + HttpResponse +. Просто создайте экземпляр класса с URL, который вы хотите перенаправить в качестве первого аргумента, и класс установит правильный статус и заголовок Location:

Вы можете поиграть с классом + HttpResponseRedirect + в оболочке Python, чтобы увидеть, что вы получаете:

>>>

Существует также класс для постоянных перенаправлений, который удачно называется + HttpResponsePermanentRedirect +. Он работает так же, как + HttpResponseRedirect +, с той лишь разницей, что он имеет код состояния +301 (перемещено постоянно) +.

Вы можете использовать https://docs.djangoproject.com/en/2.1/ref/urlresolvers/#reverse [+ django.urls.reverse () +] для создания URL, но для вас есть более удобный способ увидим в следующем разделе.

Чтобы сделать вашу жизнь проще, Django предоставляет универсальную функцию ярлыков, которую вы уже видели во введении: `+django.shortcuts. перенаправление () + `.

Вы можете вызвать эту функцию с помощью:

Будут предприняты соответствующие шаги, чтобы превратить аргументы в URL и вернуть + HTTPResponseRedirect +. Если вы передадите + constant = True +, он вернет экземпляр + HttpResponsePermanentRedirect +, что приведет к перманентному перенаправлению.

Вот три примера, иллюстрирующие различные варианты использования:

+ + redirect () + вызовет + product.get_absolute_url () + и будет использовать результат в качестве цели перенаправления. Если данный класс, в данном случае + Product +, не имеет метода + get_absolute_url () +, это не удастся с помощью + TypeError +. . Передача URL-адреса и аргументов:

+ + redirect () + будет пытаться использовать заданные аргументы для обращения URL. В этом примере предполагается, что шаблоны URL содержат шаблон, подобный следующему:

+ + redirect () + будет обрабатывать любую строку, содержащую / или +. +, как URL и использовать ее как цель перенаправления.

Если у вас есть представление, которое ничего не делает, но возвращает перенаправление, вы можете использовать представление на основе классов `+ django.views.generic.base.RedirectView + `.

Вы можете адаптировать + RedirectView + к вашим потребностям с помощью различных атрибутов.

Если у класса есть атрибут + .url +, он будет использоваться как URL перенаправления. Заполнители форматирования строки заменяются именованными аргументами из URL:

Шаблон URL определяет аргумент + term +, который используется в + SearchRedirectView + для создания URL перенаправления. Путь /search/kittens/ в вашем приложении перенаправит вас на + https://google.com/? Q = kittens +.

Вместо подкласса + RedirectView + для перезаписи атрибута + url + вы также можете передать ключевой аргумент + url + в + as_view () + в вашем + urlpatterns +:

Вы также можете перезаписать + get_redirect_url () +, чтобы получить полностью настраиваемое поведение:

Это представление на основе классов перенаправляет на URL, выбранный случайным образом из + .animal_urls +.

+ django.views.generic.base.RedirectView + предлагает еще несколько хуков для настройки. Вот полный список:

Отличным инструментом для понимания класса представлений на основе классов является веб-сайт Classy Представления на основе классов.

Вы можете реализовать функциональность + RandomAnimalView + из приведенного выше примера с помощью этого простого функционального представления:

Как видите, подход на основе классов не дает очевидных преимуществ при добавлении некоторой скрытой сложности. Возникает вопрос: когда вы должны использовать + RedirectView +?

Если вы хотите добавить перенаправление непосредственно в ваш файл + urls.py +, использование + RedirectView + имеет смысл. Но если вы обнаружите, что перезаписываете + get_redirect_url +, функциональное представление может быть проще для понимания и более гибким для будущих улучшений.

Иногда вы хотите передать некоторые параметры представлению, на которое вы перенаправляете. Лучше всего передать данные в строке запроса URL-адреса перенаправления, что означает перенаправление на URL-адрес, например так:

Предположим, вы хотите перенаправить из + some_view () + в + product_view () +, но передаете необязательный параметр + category +:

Код в этом примере довольно плотный, поэтому давайте следуем ему шаг за шагом:

В действительности, перенаправление может управляться пользователем и не должно быть доверенным, как любой другой пользовательский ввод. Без надлежащей проверки an[an может получить несанкционированный доступ.

Django предоставляет классы ответов HTTP для кодов состояния + 301 + и + 302 +. Они должны охватывать большинство случаев использования, но если вам когда-либо придется возвращать коды состояния + 303 +, + 307 + или + 308 +, вы можете довольно легко создать свой собственный класс ответа. Просто создайте подкласс + HttpResponseRedirectBase + и перезапишите атрибут + status_code +:

Кроме того, вы можете использовать метод + django.shortcuts.redirect () + для создания объекта ответа и изменения возвращаемого значения. Этот подход имеет смысл, когда у вас есть имя представления или URL или модель, на которую вы хотите перенаправить:

Можно утверждать, что ответ «+304 Not Modified +» перенаправляет на кэшированную версию URL, но это немного натянуто. Следовательно, он больше не указан в разделе Redirection 3xx ” стандарта HTTP.

Простота + django.shortcuts.redirect () + может быть обманчива. Сама функция не выполняет перенаправление: она просто возвращает объект ответа перенаправления. Вы должны вернуть этот объект ответа из своего представления (или в промежуточном программном обеспечении). В противном случае перенаправления не произойдет.

Но даже если вы знаете, что простого вызова + redirect () + недостаточно, эту ошибку легко внедрить в работающее приложение с помощью простого рефакторинга. Вот пример, чтобы проиллюстрировать это.

Предположим, вы строите магазин и у вас есть представление, которое отвечает за показ продукта. Если продукт не существует, вы перенаправляете на домашнюю страницу:

Теперь вы хотите добавить второе представление для отображения отзывов покупателей о товаре. Он также должен перенаправить на домашнюю страницу для несуществующих продуктов, поэтому в качестве первого шага вы извлекаете эту функциональность из + product_view () + в вспомогательную функцию + get_product_or_redirect () +:

К сожалению, после рефакторинга редирект больше не работает.

При работе с перенаправлениями вы можете случайно создать цикл перенаправления, если URL-адрес A возвращает перенаправление, указывающее на URL-адрес B, который возвращает перенаправление на URL-адрес A, и так далее. Большинство клиентов HTTP обнаруживают этот тип цикла перенаправления и после нескольких запросов отображают сообщение об ошибке.

К сожалению, этот тип ошибки может быть сложно обнаружить, потому что все хорошо на стороне сервера. Если ваши пользователи не жалуются на проблему, единственным признаком того, что что-то может быть не так, является то, что вы получили несколько запросов от одного клиента, все из которых приводят к ответу на перенаправление в быстрой последовательности, но нет ответа с +200 OK + ` положение дел.

Вот простой пример цикла перенаправления:

Этот пример иллюстрирует принцип, но он слишком упрощен. Циклы перенаправления, с которыми вы столкнетесь в реальной жизни, вероятно, будет труднее обнаружить. Давайте посмотрим на более сложный пример:

+ featured_products_view () + извлекает все рекомендуемые продукты, другими словами, экземпляры + Product + с + .featured +, установленным в + True +. Если существует только один рекомендуемый продукт, он перенаправляется непосредственно в + product_view () +. В противном случае он отображает шаблон с набором запросов + featured_products +.

+ Product_view + выглядит знакомо из предыдущего раздела, но имеет два небольших отличия:

Эта логика прекрасно работает, пока ваш магазин не станет жертвой собственного успеха и пока один из представленных вами товаров не поступит в продажу. Если вы установили + .in_stock + в + False +, но забыли установить для + .featured + также + False +, то любой посетитель вашего + feature_product_view () + теперь будет зависать в цикле перенаправления ,

Не существует пуленепробиваемого способа предотвращения такого рода ошибок, но хорошей отправной точкой является проверка того, использует ли перенаправляемое представление само перенаправление.

Постоянные перенаправления могут походить на плохие татуировки: они могут показаться хорошей идеей в то время, но как только вы поймете, что они были ошибкой, избавиться от них может быть довольно сложно.

Когда браузер получает постоянный ответ о перенаправлении для URL, он кэширует этот ответ на неопределенный срок. Каждый раз, когда вы запрашиваете старый URL в будущем, браузер не загружает его и напрямую загружает новый URL.

Может быть довольно сложно убедить браузер загрузить URL, который когда-то возвращал постоянное перенаправление. Google Chrome особенно агрессивен, когда речь идет о кэшировании перенаправлений.

Почему это может быть проблемой?

Представьте, что вы хотите создать веб-приложение с Django. Вы регистрируете свой домен на + myawesomedjangowebapp.com +. В качестве первого шага вы устанавливаете приложение для блога по адресу + https://myawesomedjangowebapp.com/blog/+, чтобы создать список рассылки для запуска.

Домашняя страница вашего сайта по адресу + https://myawesomedjangowebapp.com/+ все еще находится в стадии разработки, поэтому вы перенаправляете на + https://myawesomedjangowebapp.com/blog/+. Вы решили использовать постоянное перенаправление, потому что слышали, что постоянные перенаправления кэшируются, а кэширование ускоряет и ускоряет процесс, потому что скорость является фактором ранжирования в результатах поиска Google.

Оказывается, вы не только великий разработчик, но и талантливый писатель. Ваш блог становится популярным, и ваш список рассылки запуска растет. Через пару месяцев ваше приложение готово. Теперь у него есть блестящая домашняя страница, и вы наконец удалите перенаправление.

Вы отправляете электронное письмо со специальным кодом скидки в свой большой список рассылки. Вы откидываетесь назад и ждете, когда придут уведомления о регистрации.

К вашему ужасу, ваш почтовый ящик заполняется сообщениями от запутанных посетителей, которые хотят посетить ваше приложение, но всегда перенаправляются на ваш блог.

Что случилось? Читатели вашего блога посетили + https://myawesomedjangowebapp.com/+, когда перенаправление на + https://myawesomedjangowebapp.com/blog/+ было еще активным. Поскольку это был постоянный редирект, он кэшировался в их браузерах.

Когда они нажали на ссылку в вашем объявлении о запуске, их браузеры никогда не удосужились проверить вашу новую домашнюю страницу и сразу перешли к вашему блогу. Вместо того, чтобы праздновать ваш успешный запуск, вы заняты инструктированием своих пользователей, как поиграть с + chrome://net-internals +, чтобы сбросить кеш своих браузеров.

Постоянный характер перенаправлений также может укусить вас во время разработки на локальном компьютере. Давайте вернемся к тому моменту, когда вы реализовали этот роковой постоянный редирект для myawesomedjangowebapp.com.

Вы запускаете сервер разработки и открываете + http://127.0.0.1: 8000/+. Как и предполагалось, ваше приложение перенаправляет ваш браузер на + http://127.0.0.1: 8000/blog/+. Довольный своей работой, вы останавливаете сервер разработки и идете на обед.

Вы возвращаетесь с полным животом, готовым взяться за работу клиента. Клиент хочет внести несколько простых изменений в свою домашнюю страницу, поэтому вы загружаете проект клиента и запускаете сервер разработки.

Но подождите, что здесь происходит? Домашняя страница не работает, теперь она возвращает 404! Из-за спада во второй половине дня вам потребуется некоторое время, чтобы заметить, что вы перенаправлены на + http://127.0.0.1: 8000/blog/+, которого нет в проекте клиента.

Для браузера не имеет значения, что URL + http://127.0.0.1: 8000/+ теперь обслуживает совершенно другое приложение. Все, что имеет значение для браузера, это то, что этот URL когда-то возвращал постоянное перенаправление на + http://127.0.0.1: 8000/blog/+.

Вывод из этой истории заключается в том, что вы должны использовать постоянные перенаправления только на те URL-адреса, которые вы никогда не собираетесь использовать снова. Есть место для перенаправлений, но вы должны знать об их последствиях.

Даже если вы уверены, что действительно нуждаетесь в постоянном перенаправлении, рекомендуется сначала выполнить временное перенаправление и переключиться на его постоянного двоюродного брата, только если вы на 100% уверены, что все работает, как задумано.

С точки зрения безопасности, перенаправления являются относительно безопасным методом. Злоумышленник не может взломать сайт с помощью перенаправления. В конце концов, перенаправление просто перенаправляет на URL-адрес, который злоумышленник может просто ввести в адресной строке своего браузера.

Однако если вы используете какой-либо пользовательский ввод, например параметр URL, без надлежащей проверки в качестве URL перенаправления, злоумышленник может использовать его для фишинг-атаки. Этот вид перенаправления называется open или непроверенным перенаправлением.

Существуют законные варианты использования для перенаправления на URL, который читается из пользовательского ввода. Ярким примером является вид входа в систему Django. Он принимает параметр URL + next +, который содержит URL страницы, на которую перенаправляется пользователь после входа в систему. Чтобы перенаправить пользователя в его профиль после входа в систему, URL-адрес может выглядеть следующим образом:

Django действительно проверяет параметр + next +, но давайте на секунду предположим, что он этого не делает.

Без проверки злоумышленник может создать URL-адрес, который перенаправляет пользователя на сайт, находящийся под его контролем, например:

Веб-сайт + myawesomedjangowebapp.co + может затем отобразить сообщение об ошибке и заставить пользователя снова ввести свои учетные данные.

Лучший способ избежать открытых перенаправлений - не использовать ввод пользователя при создании URL-адреса перенаправления.

Если вы не можете быть уверены, что URL-адрес безопасен для перенаправления, вы можете использовать функцию + django.utils.http.is_safe_url () + для его проверки. Строка документации объясняет его использование довольно хорошо:

_ _ + is_safe_url (url, host = None, allow_hosts = None, require_https = False) +

Вернуть + True +, если URL-адрес является безопасным перенаправлением (т.е. он не указывает на другой хост и использует безопасную схему). Всегда возвращайте + False + в пустом URL. Если + require_https + равно + True +, только «https» будет считаться допустимой схемой, в отличие от «http» и «https» со значением по умолчанию «+ False +». (Https://github.com/django/django/blob/53a3d2b2454ff9a612a376f58bb7c61733f82d12/django/utils/http.py#L280[Source]) _ _

Давайте посмотрим на некоторые примеры.

Относительный URL считается безопасным:

>>>

URL, указывающий на другой хост, обычно не считается безопасным:

>>>

URL-адрес, указывающий на другой хост, считается безопасным, если его хост указан в + allow_hosts +:

>>>

Если аргумент + require_https + равен + True +, URL-адрес, использующий схему + http +, не считается безопасным:

>>>