Odoo 中的安全性¶

除了通过自定义代码手动管理访问权限外，Odoo 还提供了两种主要的数据驱动机制来管理和限制对数据的访问。

这两种机制都通过组与特定用户关联：一个用户可以属于任意数量的组，而安全机制与组相关联，从而将安全机制应用于用户。

class res.groups¶

name¶: 作为组的用户可读标识（明确说明组的角色/用途）。

category_id¶: 模块类别 用于将组与 Odoo 应用程序（~一组相关的业务模型）关联，并在用户表单中将其转换为互斥选择。

implied_ids¶: 与此组一起设置到用户的其他组。这是一种便捷的伪继承关系：可以在不移除推导组的情况下，显式地从用户中移除被推导的组。

comment¶: 关于该组的附加说明，例如：

访问权限¶

授予用户对某个模型的一组操作的完全访问权限。如果没有任何访问权限匹配用户（通过其组）对模型的操作，则用户无法访问。

访问权限是累加的，用户的访问权限是通过其所有组获得的权限的并集。例如，给定一个用户属于组 A（授予读取和创建权限）和组 B（授予更新权限），则该用户将拥有创建、读取和更新的所有权限。

class ir.model.access¶

name¶: 组的目的或角色。

model_id¶: ACL 控制访问的模型。

group_id¶: 授予访问权限的 res.groups ，空的 group_id 表示 ACL 被授予 所有用户 （非员工，例如门户用户或公共用户）。

perm_method 属性在设置时授予相应的 CRUD 访问权限，默认情况下它们均未设置。

perm_create¶

perm_read¶

perm_write¶

perm_unlink¶

记录规则¶

记录规则是必须满足的条件，以便允许执行某项操作。记录规则在访问权限之后按记录逐一评估。

记录规则默认为允许：如果访问权限授予了访问权且没有规则适用于用户对该模型的操作，则允许访问。

class ir.rule¶

name¶: 规则的描述。

model_id¶: 规则适用的模型。

groups¶: 授予（或不授予）访问权限的 res.groups 。可以指定多个组。如果没有指定组，则该规则是全局的，这与“组”规则的处理方式不同（见下文）。

global¶: 基于 groups 计算，提供对规则全局状态（或非全局状态）的便捷访问。

domain_force¶

一个以域形式指定的谓词，如果域与记录匹配，则规则允许选定的操作，否则禁止。

域是一个 Python 表达式，可以使用以下变量：

time: Python 的 time 模块。
user: 当前用户，作为一个单例记录集。
company_id: 当前用户当前选择的公司，作为单个公司 ID（不是记录集）。
company_ids: 当前用户有权访问的所有公司，作为公司 ID 的列表（不是记录集），更多详情请参阅安全规则。

perm_method 的语义与 ir.model.access 中的完全不同：对于规则，它们指定规则适用的操作。如果某个操作未被选中，则不会针对该操作检查规则，就好像该规则不存在一样。

默认情况下，所有操作均被选中。

perm_create¶

perm_read¶

perm_write¶

perm_unlink¶

全局规则与组规则¶

全局规则与组规则在组合和结合方式上存在很大差异：

全局规则是交集关系，如果两条全局规则适用，则必须同时满足两者才能授予访问权限，这意味着添加全局规则总是会进一步限制访问。
组规则是并集关系，如果两条组规则适用，则只需满足其中之一即可授予访问权限。这意味着添加组规则可以扩展访问权限，但不能超出全局规则定义的范围。
全局规则集和组规则集是交集关系，这意味着向某个全局规则集添加第一条组规则时将限制访问。

危险

创建多个全局规则是有风险的，因为可能会创建出不重叠的规则集，从而移除所有访问权限。

字段访问¶

ORM 的 Field 可以具有一个 groups 属性，用于提供一组组（以逗号分隔的 external identifiers 字符串形式）。

如果当前用户不在列出的组中，他将无法访问该字段：

受限字段会自动从请求的视图中移除
受限字段会从 fields_get() 响应中移除
尝试（显式）读取或写入受限字段会导致访问错误

安全陷阱¶

作为开发者，理解安全机制并避免导致代码不安全的常见错误非常重要。

不安全的公共方法¶

任何公共方法都可以通过 RPC 调用使用选定的参数执行。以 _ 开头的方法不能通过操作按钮或外部 API 调用。

在公共方法中，不能信任方法所操作的记录和参数，因为 ACL 仅在 CRUD 操作期间验证。

# this method is public and its arguments can not be trusted
def action_done(self):
    if self.state == "draft" and self.env.user.has_group('base.manager'):
        self._set_state("done")

# this method is private and can only be called from other python methods
def _set_state(self, new_state):
    self.sudo().write({"state": new_state})

将方法设为私有显然不够，还需要小心正确使用。

绕过 ORM¶

当 ORM 能够完成相同任务时，您绝不应该直接使用数据库游标！这样做会绕过 ORM 的所有功能，可能包括自动化行为，例如翻译、字段失效、active 、访问权限等。

并且很可能还会使代码更难阅读，并且可能降低安全性。

# very very wrong
self.env.cr.execute('SELECT id FROM auction_lots WHERE auction_id in (' + ','.join(map(str, ids))+') AND state=%s AND obj_price > 0', ('draft',))
auction_lots_ids = [x[0] for x in self.env.cr.fetchall()]

# no injection, but still wrong
self.env.cr.execute('SELECT id FROM auction_lots WHERE auction_id in %s '\
           'AND state=%s AND obj_price > 0', (tuple(ids), 'draft',))
auction_lots_ids = [x[0] for x in self.env.cr.fetchall()]

# better
auction_lots_ids = self.search([('auction_id','in',ids), ('state','=','draft'), ('obj_price','>',0)])

SQL 注入¶

使用手动 SQL 查询时，必须小心避免引入 SQL 注入漏洞。当用户输入未正确过滤或未正确转义时，就会出现此漏洞，从而使攻击者能够向 SQL 查询中插入不良子句（例如绕过过滤器或执行 UPDATE 或 DELETE 命令）。

确保安全的最佳方法是永远不要使用 Python 字符串连接（+）或字符串参数插值（%）将变量传递给 SQL 查询字符串。

第二个原因，几乎同样重要的是，决定如何格式化查询参数是数据库抽象层（psycopg2）的工作，而不是你的工作！例如，psycopg2 知道当你传递一个值列表时，需要将其格式化为逗号分隔的列表，并用括号括起来！

# the following is very bad:
#   - it's a SQL injection vulnerability
#   - it's unreadable
#   - it's not your job to format the list of ids
self.env.cr.execute('SELECT distinct child_id FROM account_account_consol_rel ' +
           'WHERE parent_id IN ('+','.join(map(str, ids))+')')

# better
self.env.cr.execute('SELECT DISTINCT child_id '\
           'FROM account_account_consol_rel '\
           'WHERE parent_id IN %s',
           (tuple(ids),))

这一点非常重要，因此在重构时请务必小心，最重要的是不要复制这些模式！

这里有一个令人印象深刻的示例，帮助你记住问题所在（但不要复制那里的代码）。在继续之前，请务必阅读 pyscopg2 的在线文档以学习如何正确使用它：

未转义的字段内容¶

在使用 JavaScript 和 XML 渲染内容时，可能会倾向于使用 t-raw 来显示富文本内容。这应该避免，因为它是一个常见的 XSS 攻击向量。

从计算到最终集成到浏览器 DOM 中，很难控制数据的完整性。一个在引入时正确转义的 t-raw 可能在下一次修复错误或重构时变得不再安全。

QWeb.render('insecure_template', {
    info_message: "You have an <strong>important</strong> notification",
})

<div t-name="insecure_template">
    <div id="information-bar"><t t-raw="info_message" /></div>
</div>

上述代码可能看起来是安全的，因为消息内容是受控的，但这是一个糟糕的实践，一旦代码在未来发生变化，可能会导致意外的安全漏洞。

// XSS possible with unescaped user provided content !
QWeb.render('insecure_template', {
    info_message: "You have an <strong>important</strong> notification on " \
        + "the product <strong>" + product.name + "</strong>",
})

而通过不同方式格式化模板可以防止此类漏洞。

QWeb.render('secure_template', {
    message: "You have an important notification on the product:",
    subject: product.name
})

<div t-name="secure_template">
    <div id="information-bar">
        <div class="info"><t t-esc="message" /></div>
        <div class="subject"><t t-esc="subject" /></div>
    </div>
</div>

.subject {
    font-weight: bold;
}

使用 `Markup` 创建安全内容¶

有关详细说明，请参阅官方文档，但 Markup 的最大优势在于它是一种丰富的类型，覆盖了 str 操作以 自动转义参数。

这意味着通过在字符串字面量上使用 Markup 并“格式化”用户提供的（因此可能不安全的）内容，可以轻松创建 安全的 HTML 片段：

>>> Markup('<em>Hello</em> ') + '<foo>'
Markup('<em>Hello</em> &lt;foo&gt;')
>>> Markup('<em>Hello</em> %s') % '<foo>'
Markup('<em>Hello</em> &lt;foo&gt;')

虽然这是一个非常好的特性，但请注意它的效果有时可能会很奇怪：

>>> Markup('<a>').replace('>', 'x')
Markup('<a>')
>>> Markup('<a>').replace(Markup('>'), 'x')
Markup('<ax')
>>> Markup('<a&gt;').replace('>', 'x')
Markup('<ax')
>>> Markup('<a&gt;').replace('>', '&')
Markup('<a&amp;')

小技巧

大多数内容安全的 API 实际上会返回一个带有所有隐含特性的 Markup 。

escape 方法（及其别名 html_escape ）将 str 转换为 Markup 并转义其内容。它不会转义 Markup 对象的内容。

def get_name(self, to_html=False):
    if to_html:
        return Markup("<strong>%s</strong>") % self.name  # escape the name
    else:
        return self.name

>>> record.name = "<R&D>"
>>> escape(record.get_name())
Markup("&lt;R&amp;D&gt;")
>>> escape(record.get_name(True))
Markup("<strong>&lt;R&amp;D&gt;</strong>")  # HTML is kept

在生成 HTML 代码时，重要的是将结构（标签）与内容（文本）分开。

>>> Markup("<p>") + "Hello <R&D>" + Markup("</p>")
Markup('<p>Hello &lt;R&amp;D&gt;</p>')
>>> Markup("%s <br/> %s") % ("<R&D>", Markup("<p>Hello</p>"))
Markup('&lt;R&amp;D&gt; <br/> <p>Hello</p>')
>>> escape("<R&D>")
Markup('&lt;R&amp;D&gt;')
>>> _("List of Tasks on project %s: %s",
...     project.name,
...     Markup("<ul>%s</ul>") % Markup().join(Markup("<li>%s</li>") % t.name for t in project.task_ids)
... )
Markup('Liste de tâches pour le projet &lt;R&amp;D&gt;: <ul><li>First &lt;R&amp;D&gt; task</li></ul>')

>>> Markup("<p>Foo %</p>" % bar)  # bad, bar is not escaped
>>> Markup("<p>Foo %</p>") % bar  # good, bar is escaped if text and kept if markup

>>> link = Markup("<a>%s</a>") % self.name
>>> message = "Click %s" % link  # bad, message is text and Markup did nothing
>>> message = escape("Click %s") % link  # good, format two markup objects together

>>> Markup(f"<p>Foo {self.bar}</p>")  # bad, bar is inserted before escaping
>>> Markup("<p>Foo {bar}</p>").format(bar=self.bar)  # good, sorry no fstring

在处理翻译时，尤其重要的是将 HTML 与文本分开。翻译方法接受 Markup 参数，并且如果接收到至少一个参数，则会对翻译进行转义。

>>> Markup("<p>%s</p>") % _("Hello <R&D>")
Markup('<p>Bonjour &lt;R&amp;D&gt;</p>')
>>> _("Order %s has been confirmed", Markup("<a>%s</a>") % order.name)
Markup('Order <a>SO42</a> has been confirmed')
>>> _("Message received from %(name)s <%(email)s>",
...   name=self.name,
...   email=Markup("<a href='mailto:%s'>%s</a>") % (self.email, self.email)
Markup('Message received from Georges &lt;<a href=mailto:george@abitbol.example>george@abitbol.example</a>&gt;')

转义与清理¶

重要

当你混合数据和代码时，转义始终是 100% 必须的，无论数据多么安全

转义将文本转换为代码。每次将 数据/文本 与代码混合时（例如生成要在 safe_eval 中评估的 HTML 或 Python 代码），都必须进行转义，因为代码总是要求对文本进行编码。这不仅对安全性至关重要，也是正确性的问题。即使没有安全风险（因为文本 100% 可保证安全或可信），仍然需要进行转义（例如避免破坏生成的 HTML 布局）。

只要开发者能够明确哪个变量包含文本，哪个变量包含代码，转义就不会破坏任何功能。

>>> from odoo.tools import html_escape, html_sanitize
>>> data = "<R&D>" # `data` is some TEXT coming from somewhere

# Escaping turns it into CODE, good!
>>> code = html_escape(data)
>>> code
Markup('&lt;R&amp;D&gt;')

# Now you can mix it with other code...
>>> self.website_description = Markup("<strong>%s</strong>") % code

清理将代码转换为 更安全的代码 （但不一定完全安全）。它不对文本起作用。只有当代码不可信时才需要清理，因为它是全部或部分来自某些用户提供的数据。如果用户提供的数据是以文本形式存在（例如用户填写的表单内容），并且在将其放入代码之前已正确转义，则清理是没有必要的（但仍然可以执行）。然而，如果用户提供的数据 未被转义 ，那么清理将无法按预期工作。

# Sanitizing without escaping is BROKEN: data is corrupted!
>>> html_sanitize(data)
Markup('')

# Sanitizing *after* escaping is OK!
>>> html_sanitize(code)
Markup('<p>&lt;R&amp;D&gt;</p>')

清理可能会破坏功能，具体取决于代码是否预期包含不安全的模式。这就是为什么 fields.Html 和 tools.html_sanitize() 提供了用于微调样式等清理级别的选项。这些选项需要根据数据来源和所需功能仔细考虑。清理的安全性与清理导致的破坏之间需要权衡：清理越安全，越有可能破坏某些功能。

>>> code = "<p class='text-warning'>Important Information</p>"
# this will remove the style, which may break features
# but is necessary if the source is untrusted
>>> html_sanitize(code, strip_classes=True)
Markup('<p>Important Information</p>')

评估内容¶

有些人可能想用 eval 来解析用户提供的内容。应不惜一切代价避免使用 eval 。可以改用更安全、沙盒化的 safe_eval 方法，但它仍然赋予运行它的用户极大的能力，因此只能保留给受信任的特权用户使用，因为它打破了代码与数据之间的屏障。

# very bad
domain = eval(self.filter_domain)
return self.search(domain)

# better but still not recommended
from odoo.tools import safe_eval
domain = safe_eval(self.filter_domain)
return self.search(domain)

# good
from ast import literal_eval
domain = literal_eval(self.filter_domain)
return self.search(domain)

解析内容不需要 eval

语言	数据类型	合适的解析器
Python	整数、浮点数等	int(), float()
JavaScript	整数、浮点数等	parseInt(), parseFloat()
Python	字典	json.loads(), ast.literal_eval()
JavaScript	对象、列表等	JSON.parse()

访问对象属性¶

如果需要动态检索或修改记录的值，可以使用 getattr 和 setattr 方法。

# unsafe retrieval of a field value
def _get_state_value(self, res_id, state_field):
    record = self.sudo().browse(res_id)
    return getattr(record, state_field, False)

然而，这段代码并不安全，因为它允许访问记录的任何属性，包括私有属性或方法。

已定义了记录集的 __getitem__ ，并可以安全地轻松访问动态字段值：

# better retrieval of a field value
def _get_state_value(self, res_id, state_field):
    record = self.sudo().browse(res_id)
    return record[state_field]

上述方法显然仍然过于乐观，必须对记录 ID 和字段值进行额外验证。

Edit on GitHub