Djangoアプリがデフォルトで取得するIPアドレスをミドルウェアでREMOTE_ADDRからHTTP_X_FORWARDED

Heroku運用中のdjangoアプリが取得するIPアドレスのデフォルトをREMOTE_ADDRからHTTP_X_FORWARDED_FORに変更したいです。

そこで私はsettings.pyと同じ階層にmiddleware.pyを作成し、内容を以下の様にしました。

middleware.py

python
1from django.http import HttpResponse
2
3class RemoteAddrMiddleware(object):
4    def __init__(self, get_response):
5        self.get_response = get_response
6
7    def __call__(self, request):
8        return self.get_response(request)
9
10    def process_request(self, request):
11        if 'HTTP_X_FORWARDED_FOR' in request.META:
12            ip = request.META['HTTP_X_FORWARDED_FOR'].split(',')[0].strip()
13            request.META['REMOTE_ADDR'] = ip

settings.py

python
1MIDDLEWARE = [
2    'django.middleware.security.SecurityMiddleware',
3    .
4    .
5    'myproject.middleware.RemoteAddrMiddleware', # 追記
6]

しかし、成功しましせんでした、どうすれば良いかわかる方がいましたらアドバイス頂けると嬉しいです。
よろしくお願いします。

行動規範の内容に同意します

回答1件

ベストアンサー

問題点: MIDDLEWARE MIDDLEWARE_CLASSES を混同されたような実装になってます。
(古い情報を元に実装されてないか、バージョンを確認して見て下さい)

まずは、logging 等を用いて、__call__ や process_request が呼ばれているか確認しましょう。
MiddlewareMixin の __call__ が process_request を呼び出します。

　現状の __call__ には、process_request 呼び出しがありません。
従来のミドルウェアであれば process_request を直接呼び出すので、
ミドルウェアの「実装方法」と「設定方法」が、別々のバージョンの情報に基づいてるように思います。

MIDDLEEARE に設定する場合

ミドルウェアのクラスはMiddlewareMixin を継承する
__call__ はオーバーライドしない

参考

リバースプロキシ用のミドルウェアについて、
古い情報ですが、以下の情報も確認してください。

HTTP_X_FORWARDED_FOR の参照は信頼できる場合でないと、
偽装できる的なことが書かれてます。

1.0 には django.middleware.http.SetRemoteAddrFromForwardedFor があったので、代替クラス等を調べてみてはどうでしょう。

Removed SetRemoteAddrFromForwardedFor middleware

削除される以前の実装は以下の通り、MIDDLEWARE_CLASSES で用られるものです。

SetRemoteAddrFromForwardedFor class

python
1class SetRemoteAddrFromForwardedFor(object):
2    """
3    Middleware that sets REMOTE_ADDR based on HTTP_X_FORWARDED_FOR, if the
4    latter is set. This is useful if you're sitting behind a reverse proxy that
5    causes each request's REMOTE_ADDR to be set to 127.0.0.1.
6    Note that this does NOT validate HTTP_X_FORWARDED_FOR. If you're not behind
7    a reverse proxy that sets HTTP_X_FORWARDED_FOR automatically, do not use
8    this middleware. Anybody can spoof the value of HTTP_X_FORWARDED_FOR, and
9    because this sets REMOTE_ADDR based on HTTP_X_FORWARDED_FOR, that means
10    anybody can "fake" their IP address. Only use this when you can absolutely
11    trust the value of HTTP_X_FORWARDED_FOR.
12    """
13    def process_request(self, request):
14        try:
15            real_ip = request.META['HTTP_X_FORWARDED_FOR']
16        except KeyError:
17            return None
18        else:
19            # HTTP_X_FORWARDED_FOR can be a comma-separated list of IPs. The
20            # client's IP will be the first one.
21            real_ip = real_ip.split(",")[0].strip()
22            request.META['REMOTE_ADDR'] = real_ip