http.server
--- HTTP サーバー¶
ソースコード: Lib/http/server.py
このモジュールは HTTP サーバを実装するためのクラスを提供しています。
警告
http.server
は、本番環境では推奨されません。これは、 基本的なセキュリティチェック のみを実装します。
Availability: not WASI.
このモジュールは WebAssembly では動作しないか、利用不可です。詳しくは、WebAssembly プラットフォーム を見てください。
クラス HTTPServer
は socketserver.TCPServer
のサブクラスです。
HTTPServer
は HTTP ソケットを生成してリクエスト待ち (listen) を行い、リクエストをハンドラに渡します。
サーバを作成して動作させるためのコードは以下のようになります:
def run(server_class=HTTPServer, handler_class=BaseHTTPRequestHandler):
server_address = ('', 8000)
httpd = server_class(server_address, handler_class)
httpd.serve_forever()
- class http.server.HTTPServer(server_address, RequestHandlerClass)¶
このクラスは
TCPServer
クラスの上に構築されており、サーバのアドレスをインスタンス変数server_name
およびserver_port
に記憶します。 サーバはハンドラからアクセス可能で、通常ハンドラのserver
インスタンス変数からアクセスします。
- class http.server.ThreadingHTTPServer(server_address, RequestHandlerClass)¶
This class is identical to HTTPServer but uses threads to handle requests by using the
ThreadingMixIn
. This is useful to handle web browsers pre-opening sockets, on whichHTTPServer
would wait indefinitely.Added in version 3.7.
HTTPServer
と ThreadingHTTPServer
は RequestHandlerClass の初期化のときに与えられなければならず、このモジュールはこのクラスの3つの変種を提供しています:
- class http.server.BaseHTTPRequestHandler(request, client_address, server)¶
このクラスはサーバに到着したリクエストを処理します。 このメソッド自体では、実際のリクエストに応答することはできません; (GET や POST のような) 各リクエストメソッドを処理するためにはサブクラス化しなければなりません。
BaseHTTPRequestHandler
では、サブクラスで使うためのクラスやインスタンス変数、メソッド群を数多く提供しています。The handler will parse the request and the headers, then call a method specific to the request type. The method name is constructed from the request. For example, for the request method
SPAM
, thedo_SPAM()
method will be called with no arguments. All of the relevant information is stored in instance variables of the handler. Subclasses should not need to override or extend the__init__()
method.BaseHTTPRequestHandler
は以下のインスタンス変数を持っています:- client_address¶
HTTP クライアントのアドレスを参照している、
(host, port)
の形式をとるタプルが入っています。
- server¶
server インスタンスが入っています。
- close_connection¶
handle_one_request()
が返る前に設定すべき真偽値で、別のリクエストが期待されているかどうか、もしくはコネクションを切断すべきかどうかを指し示しています。
- requestline¶
HTTP リクエスト行の文字列表現を保持しています。 末尾の CRLF は除去されています。 この属性は
handle_one_request()
によって設定されるべきです。 妥当なリクエスト行が1行も処理されなかった場合は、空文字列に設定されるべきです。
- command¶
HTTP 命令 (リクエスト形式) が入っています。例えば
'GET'
です。
- path¶
Contains the request path. If query component of the URL is present, then
path
includes the query. Using the terminology of RFC 3986,path
here includeshier-part
and thequery
.
- request_version¶
リクエストのバージョン文字列が入っています。例えば
'HTTP/1.0'
です。
- headers¶
MessageClass
クラス変数で指定されたクラスのインスタンスを保持しています。 このインスタンスは HTTP リクエストのヘッダを解釈し、管理しています。http.client
のparse_headers()
関数がヘッダを解釈するために使われ、 HTTP リクエストが妥当な RFC 2822 スタイルのヘッダを提供することを要求します。
- rfile¶
An
io.BufferedIOBase
input stream, ready to read from the start of the optional input data.
- wfile¶
Contains the output stream for writing a response back to the client. Proper adherence to the HTTP protocol must be used when writing to this stream in order to achieve successful interoperation with HTTP clients.
バージョン 3.6 で変更: This is an
io.BufferedIOBase
stream.
BaseHTTPRequestHandler
は以下の属性を持っています:- server_version¶
サーバのソフトウェアバージョンを指定します。この値は上書きする必要が生じるかもしれません。書式は複数の文字列を空白で分割したもので、各文字列はソフトウェア名[/バージョン] の形式をとります。例えば、
'BaseHTTP/0.2'
です。
- sys_version¶
Python 処理系のバージョンが,
version_string
メソッドやserver_version
クラス変数で利用可能な形式で入っています。例えば'Python/1.4'
です。
- error_message_format¶
Specifies a format string that should be used by
send_error()
method for building an error response to the client. The string is filled by default with variables fromresponses
based on the status code that passed tosend_error()
.
- error_content_type¶
エラーレスポンスをクライアントに送信する時に使う Content-Type HTTP ヘッダを指定します。デフォルトでは
'text/html'
です。
- protocol_version¶
Specifies the HTTP version to which the server is conformant. It is sent in responses to let the client know the server's communication capabilities for future requests. If set to
'HTTP/1.1'
, the server will permit HTTP persistent connections; however, your server must then include an accurateContent-Length
header (usingsend_header()
) in all of its responses to clients. For backwards compatibility, the setting defaults to'HTTP/1.0'
.
- MessageClass¶
HTTP ヘッダを解釈するための
email.message.Message
類似のクラスを指定します。 通常この値が上書きされることはなく、デフォルトのhttp.client.HTTPMessage
になっています。
- responses¶
This attribute contains a mapping of error code integers to two-element tuples containing a short and long message. For example,
{code: (shortmessage, longmessage)}
. The shortmessage is usually used as the message key in an error response, and longmessage as the explain key. It is used bysend_response_only()
andsend_error()
methods.
BaseHTTPRequestHandler
インスタンスは以下のメソッドを持っています:- handle()¶
Calls
handle_one_request()
once (or, if persistent connections are enabled, multiple times) to handle incoming HTTP requests. You should never need to override it; instead, implement appropriatedo_*()
methods.
- handle_one_request()¶
This method will parse and dispatch the request to the appropriate
do_*()
method. You should never need to override it.
- handle_expect_100()¶
HTTP/1.1 準拠のサーバが
Expect: 100-continue
リクエストヘッダを受け取ったとき、100 Continue
を返し、その後に200 OK
がきます。 このメソッドは、サーバがクライアントに継続を要求しない場合、エラーを送出するようにオーバーライドできます。 例えば、サーバはレスポンスヘッダとして417 Expectation Failed
を送る選択をし、return False
とできます。Added in version 3.2.
- send_error(code, message=None, explain=None)¶
Sends and logs a complete error reply to the client. The numeric code specifies the HTTP error code, with message as an optional, short, human readable description of the error. The explain argument can be used to provide more detailed information about the error; it will be formatted using the
error_message_format
attribute and emitted, after a complete set of headers, as the response body. Theresponses
attribute holds the default values for message and explain that will be used if no value is provided; for unknown codes the default value for both is the string???
. The body will be empty if the method is HEAD or the response code is one of the following:1xx
,204 No Content
,205 Reset Content
,304 Not Modified
.バージョン 3.4 で変更: The error response includes a Content-Length header. Added the explain argument.
- send_response(code, message=None)¶
Adds a response header to the headers buffer and logs the accepted request. The HTTP response line is written to the internal buffer, followed by Server and Date headers. The values for these two headers are picked up from the
version_string()
anddate_time_string()
methods, respectively. If the server does not intend to send any other headers using thesend_header()
method, thensend_response()
should be followed by anend_headers()
call.バージョン 3.3 で変更: Headers are stored to an internal buffer and
end_headers()
needs to be called explicitly.
- send_header(keyword, value)¶
Adds the HTTP header to an internal buffer which will be written to the output stream when either
end_headers()
orflush_headers()
is invoked. keyword should specify the header keyword, with value specifying its value. Note that, after the send_header calls are done,end_headers()
MUST BE called in order to complete the operation.バージョン 3.2 で変更: ヘッダは内部バッファに保存されます。
- send_response_only(code, message=None)¶
Sends the response header only, used for the purposes when
100 Continue
response is sent by the server to the client. The headers not buffered and sent directly the output stream.If the message is not specified, the HTTP message corresponding the response code is sent.Added in version 3.2.
- end_headers()¶
Adds a blank line (indicating the end of the HTTP headers in the response) to the headers buffer and calls
flush_headers()
.バージョン 3.2 で変更: バッファされたヘッダは出力ストリームに書き出されます。
- flush_headers()¶
最終的にヘッダを出力ストリームに送り、内部ヘッダバッファをフラッシュします。
Added in version 3.3.
- log_request(code='-', size='-')¶
受理された (成功した) リクエストをログに記録します。code にはこの応答に関連付けられた HTTP コード番号を指定します。応答メッセージの大きさを知ることができる場合、size パラメタに渡すとよいでしょう。
- log_error(...)¶
リクエストを遂行できなかった際に、エラーをログに記録します。標準では、メッセージを
log_message()
に渡します。従って同じ引数 (format と追加の値) を取ります。
- log_message(format, ...)¶
任意のメッセージを
sys.stderr
にログ記録します。このメソッドは通常、カスタムのエラーログ記録機構を作成するために上書きされます。 format 引数は標準の printf 形式の書式文字列で、log_message()
に渡された追加の引数は書式化の入力として適用されます。ログ記録される全てのメッセージには、クライアントの IP アドレスおよび現在の日付、時刻が先頭に付けられます。
- version_string()¶
サーバーのソフトウェアのバージョンを示す文字列を返します。 その文字列は、
server_version
とsys_version
の属性が含まれます。
- date_time_string(timestamp=None)¶
メッセージヘッダ向けに書式化された、 timestamp (
None
またはtime.time()
のフォーマットである必要があります)で与えられた日時を返します。もし timestamp が省略された場合には、現在の日時が使われます。出力は
'Sun, 06 Nov 1994 08:49:37 GMT'
のようになります。
- log_date_time_string()¶
ログ記録向けに書式化された、現在の日付および時刻を返します。
- address_string()¶
クライアントのアドレスを返します。
バージョン 3.3 で変更: Previously, a name lookup was performed. To avoid name resolution delays, it now always returns the IP address.
- class http.server.SimpleHTTPRequestHandler(request, client_address, server, directory=None)¶
This class serves files from the directory directory and below, or the current directory if directory is not provided, directly mapping the directory structure to HTTP requests.
バージョン 3.7 で変更: Added the directory parameter.
バージョン 3.9 で変更: The directory parameter accepts a path-like object.
リクエストの解釈のような、多くの作業は基底クラス
BaseHTTPRequestHandler
で行われます。このクラスは関数do_GET()
およびdo_HEAD()
を実装しています。SimpleHTTPRequestHandler
では以下のメンバ変数を定義しています:- server_version¶
この値は
"SimpleHTTP/" + __version__
になります。__version__
はこのモジュールで定義されている値です。
- extensions_map¶
A dictionary mapping suffixes into MIME types, contains custom overrides for the default system mappings. The mapping is used case-insensitively, and so should contain only lower-cased keys.
バージョン 3.9 で変更: This dictionary is no longer filled with the default system mappings, but only contains overrides.
SimpleHTTPRequestHandler
では以下のメソッドを定義しています:- do_HEAD()¶
このメソッドは
'HEAD'
型のリクエスト処理を実行します: すなわち、GET
リクエストの時に送信されるものと同じヘッダを送信します。送信される可能性のあるヘッダについての完全な説明はdo_GET()
メソッドを参照してください。
- do_GET()¶
リクエストを現在の作業ディレクトリからの相対的なパスとして解釈することで、リクエストをローカルシステム上のファイルと対応付けます。
リクエストがディレクトリに対応付けられた場合、
index.html
またはindex.htm
を (この順序で) チェックします。もしファイルを発見できればその内容を、そうでなければディレクトリ一覧をlist_directory()
メソッドで生成して、返します。このメソッドはos.listdir()
をディレクトリのスキャンに用いており、listdir()
が失敗した場合には404
応答が返されます。If the request was mapped to a file, it is opened. Any
OSError
exception in opening the requested file is mapped to a404
,'File not found'
error. If there was an'If-Modified-Since'
header in the request, and the file was not modified after this time, a304
,'Not Modified'
response is sent. Otherwise, the content type is guessed by calling theguess_type()
method, which in turn uses the extensions_map variable, and the file contents are returned.出力は
'Content-type:'
と推測されたコンテントタイプで、その後にファイルサイズを示す'Content-Length;'
ヘッダと、ファイルの更新日時を示す'Last-Modified:'
ヘッダが続きます。そしてヘッダの終了を示す空白行が続き、さらにその後にファイルの内容が続きます。このファイルはコンテントタイプが
text/
で始まっている場合はテキストモードで、そうでなければバイナリモードで開かれます。For example usage, see the implementation of the
test
function in Lib/http/server.py.バージョン 3.7 で変更: Support of the
'If-Modified-Since'
header.
The SimpleHTTPRequestHandler
class can be used in the following
manner in order to create a very basic webserver serving files relative to
the current directory:
import http.server
import socketserver
PORT = 8000
Handler = http.server.SimpleHTTPRequestHandler
with socketserver.TCPServer(("", PORT), Handler) as httpd:
print("serving at port", PORT)
httpd.serve_forever()
SimpleHTTPRequestHandler
can also be subclassed to enhance behavior,
such as using different index file names by overriding the class attribute
index_pages
.
http.server
はインタプリタの -m
スイッチを使って直接実行することもできます。上の例と同じように、これはカレントディレクトリ以下のファイルへのアクセスを提供します:
python -m http.server
The server listens to port 8000 by default. The default can be overridden by passing the desired port number as an argument:
python -m http.server 9000
By default, the server binds itself to all interfaces. The option -b/--bind
specifies a specific address to which it should bind. Both IPv4 and IPv6
addresses are supported. For example, the following command causes the server
to bind to localhost only:
python -m http.server --bind 127.0.0.1
バージョン 3.4 で変更: Added the --bind
option.
バージョン 3.8 で変更: Support IPv6 in the --bind
option.
By default, the server uses the current directory. The option -d/--directory
specifies a directory to which it should serve the files. For example,
the following command uses a specific directory:
python -m http.server --directory /tmp/
バージョン 3.7 で変更: Added the --directory
option.
By default, the server is conformant to HTTP/1.0. The option -p/--protocol
specifies the HTTP version to which the server is conformant. For example, the
following command runs an HTTP/1.1 conformant server:
python -m http.server --protocol HTTP/1.1
バージョン 3.11 で変更: Added the --protocol
option.
- class http.server.CGIHTTPRequestHandler(request, client_address, server)¶
このクラスは、現在のディレクトリかその下のディレクトリにおいて、ファイルか CGI スクリプト出力を提供するために使われます。 HTTP 階層構造からローカルなディレクトリ構造への対応付けは
SimpleHTTPRequestHandler
と全く同じなので注意してください。注釈
CGIHTTPRequestHandler
クラスで実行される CGI スクリプトは HTTP コード 200 (スクリプトの出力が後に続く) を実行に先立って出力される (これがステータスコードになります) ため、リダイレクト(コード302) を行なうことができません。このクラスでは、ファイルが CGI スクリプトであると推測された場合、これをファイルとして提供する代わりにスクリプトを実行します。 --- 他の一般的なサーバ設定は特殊な拡張子を使って CGI スクリプトであることを示すのに対し、ディレクトリベースの CGI だけが使われます。
do_GET()
およびdo_HEAD()
関数は、HTTP 要求がcgi_directories
パス以下のどこかを指している場合、ファイルを提供するのではなく、CGI スクリプトを実行してその出力を提供するように変更されています。CGIHTTPRequestHandler
では以下のデータメンバを定義しています:- cgi_directories¶
この値は標準で
['/cgi-bin', '/htbin']
であり、CGI スクリプトを含んでいることを示すディレクトリを記述します。
CGIHTTPRequestHandler
は以下のメソッドを定義しています:- do_POST()¶
このメソッドは、CGI スクリプトでのみ許されている
'POST'
型の HTTP 要求に対するサービスを行います。CGI でない url に対して POST を試みた場合、出力は Error 501, "Can only POST to CGI scripts" になります。
セキュリティ上の理由から、CGI スクリプトはユーザ nobody の UID で動作するので注意してください。 CGI スクリプトが原因で発生した問題は、Error 403 に変換されます。
Deprecated since version 3.13, will be removed in version 3.15:
CGIHTTPRequestHandler
is being removed in 3.15. CGI has not been considered a good way to do things for well over a decade. This code has been unmaintained for a while now and sees very little practical use. Retaining it could lead to further security considerations.
CGIHTTPRequestHandler
can be enabled in the command line by passing
the --cgi
option:
python -m http.server --cgi
Deprecated since version 3.13, will be removed in version 3.15: http.server
command line --cgi
support is being removed
because CGIHTTPRequestHandler
is being removed.
警告
CGIHTTPRequestHandler
and the --cgi
command line option
are not intended for use by untrusted clients and may be vulnerable
to exploitation. Always use within a secure environment.
セキュリティで考慮すべき点¶
SimpleHTTPRequestHandler
will follow symbolic links when handling
requests, this makes it possible for files outside of the specified directory
to be served.
Earlier versions of Python did not scrub control characters from the
log messages emitted to stderr from python -m http.server
or the
default BaseHTTPRequestHandler
.log_message
implementation. This could allow remote clients connecting to your
server to send nefarious control codes to your terminal.
バージョン 3.12 で変更: Control characters are scrubbed in stderr logs.