ChoiceFieldのvalidation

ChoiceFieldを動的に作成しようとしています。
そのforms.ChoiceField(choices=val)と作成するとき、あるいは送信するときに
formに悪意のあるテキストなどを防ぐvalidationが標準であったと思うのですが、
もしあればその機能が働くか知りたいです。
ただカスタムバリデーションの記事が多く、標準では何を検証してくれるかは
はっきりわかっていません。

よろしくお願いします。

    def validate(self, value):
        """Validate that the input is in self.choices."""
        super().validate(value)
        if value and not self.valid_value(value):
            raise ValidationError(
                self.error_messages['invalid_choice'],
                code='invalid_choice',
                params={'value': value},
            )

    def valid_value(self, value):
        """Check to see if the provided value is a valid choice."""
        text_value = str(value)
        for k, v in self.choices:
            if isinstance(v, (list, tuple)):
                # This is an optgroup, so look inside the group for options
                for k2, v2 in v:
                    if value == k2 or text_value == str(k2):
                        return True
            else:
                if value == k or text_value == str(k):
                    return True
        return False

    def validate(self, value):
        if value in self.empty_values and self.required:
            raise ValidationError(self.error_messages['required'], code='required')

EMPTY_VALUES = (None, '', [], (), {})

required=True

行動規範の内容に同意します

回答1件

ベストアンサー

公式ドキュメントでは、
https://docs.djangoproject.com/ja/3.1/ref/forms/validation/#using-validation-in-practice
ここが validation について詳しく書いていると思います。

具体的な検証項目ですが、site-packages\django\forms\fields.py に各種Fieldクラスがありますが、例えば、EmailFieldとRegexFieldでしたら、それぞれ

python
1default_validators = [validators.validate_email]
2・・・・
3self._regex_validator = validators.RegexValidator(regex=regex)

こうなっていて、validators.というのは、site-packages\django\core\validators.py のことでこのモジュール内に validate_email、RegexValidator が定義されていますので、何をやっているかは、ここのコードを見て理解するということになると思います。

あまり私はセキュリティには詳しくないですが、とりわけ「悪意のあるテキストを・・・」というよりか、最大値、最小値、データ長といった、そのフィールドのデータの仕様にあっているかのチェックがほとんどに見えます。URLValidatorだと「'http', 'https', 'ftp', 'ftps'」チェックとかIPパターンのチェックとかホストネーム、ドメインのチェックもやっていますがこれもデータ仕様で形式上のチェックに見えます。

それから、各Fieldクラスに to_python(self, value)というメソッドもあり、その中で

python
1value = formats.sanitize_separators(value)

このような記述があります。このメソッドが書いてあるモジュールが、site-packages.django.utils.formats.py にありますが、入力された文字列の千桁で区切るカンマを取り除いたりしています。このモジュール内には、多国語対応の時の時間表示のチェックもやっています。

こういった細かいチェックを行うことで、結果的に悪意のあるデータを排除していることになるのでしょうか。あとCSRF対策の機能も悪意のある操作防止になっていますね。

MDN Web Docs「Web サイトのセキュリティ」には下記のように書いています。

ウェブフレームワークはしばしばあなたのためにエスケープする文字の面倒を見るでしょう。たとえば、Django はクエリセット (モデルクエリ) に渡されたユーザーデータが確実にエスケープされるようにします。

これがどのコードなのかは分かりませんが、forms.models.py あたりにあるのではないかと思います。

forms.ChoiceField の場合は、django.core.validatosのメソッドは使っていません。choicesが動的に決まるとしてもサーバからクライアントに送る時にはそれらのリストが決定しているので、そのchoicesのどれをユーザが選んだのかという問題になるので、あまりチェックの必要性が無いということだと思います。

長いだけで要領を得ない文章になってしまいましたが、要するに remove_mal_text() といったような直接悪意のあるコードをはじく様なメソッドはなさそうです。

投稿2021/03/10 18:06

MorningMushroom

総合スコア53

keraker

2021/03/11 03:10

ありがとうございます。ということは、自分で考えて実装する必要があるようですね。ただウェブフレームワークはしばしばあなたのためにエスケープする文字の面倒を見るでしょう。たとえば、Django はクエリセット (モデルクエリ) に渡されたユーザーデータが確実にエスケープされるようにします。のあたりを読むと、生成されたchoiceがSQL インジェクションを含むものであったとしてもデータベースに格納される際にはエスケープされるということでしょうか。

MorningMushroom

2021/03/11 12:04

それについては、最初の回答内に書いたつもりです。分かりませんということです。それと、具体的にどういう悪意のあるユーザデータを想定しているのでしょうか？

keraker

2021/03/11 12:21

いえ、認識が誤っていないかの確認です。それといただいた資料からは今回の例でdjangoがしてくれることは、生成されたchoiceがSQL インジェクションを含むものであったとしてもデータベースに格納される際にはエスケープされるぐらいになるのかな、という答えてくれたらうれしいぐらいの感想ですね。まだ日が浅いのでセキュリティには何が必要なのか模索している最中です。ありがとうございます。

行動規範の内容に同意します