调试模式
调试器允许从浏览器执行任意Python代码。虽然它有别针保护,但仍然存在巨大的安全风险。不要在生产环境中运行开发服务器或调试器。
代码语言:javascript复制$ set -x FLASK_ENV development
$ flask run
当返回HTML(Flask中的默认响应类型)时,必须在输出呈现之前转义所有用户提供的值,以防止注入攻击。使用Jinja呈现的HTML模板(稍后将描述)将自动执行此操作。 下面显示的转义()可以手动转义。为了简洁起见,在大多数示例中都省略了它,但您应该始终小心处理不受信任的数据。
代码语言:javascript复制from markupsafe import escape
@app.route("/<name>")
def hello(name):
return f"Hello, {escape(name)}!"
如果用户希望将其名称提交为,最好将其转义为文本,而不是在浏览器中执行脚本。
代码语言:javascript复制@app.route('/')
def index():
return 'Index Page'
@app.route('/hello')
def hello():
return 'Hello, World'
![在这里插入图片描述](https://img-blog.csdnimg.cn/8b769f9560824f3795c540750f502fac.png
URL
url_for()函数用于构建指定函数的url。它将函数名作为第一个参数。它可以接受任何关键字参数,每个关键字参数都对应于URL中的一个变量。未知变量将作为查询参数添加到URL中。 为什么不在模板中写入URL,而是使用反转函数URL_For()动态构造? 反转通常比硬编码URL更具描述性。 可以在一个地方更改URL,而不是到处查找。
代码语言:javascript复制from flask import url_for
app = Flask(__name__)
@app.route('/')
def index():
return 'index'
@app.route('/login')
def login():
return 'login'
@app.route('/user/<username>')
def profile(username):
return f'{username}'s profile'
with app.test_request_context():
print(url_for('index'))
print(url_for('login'))
print(url_for('login', next='/'))
print(url_for('profile', username='John Doe'))
URL创建将为您处理特殊字符的转义,这更加直观。 生产路径始终是绝对路径,可以避免相对路径的副作用。 如果的应用程序位于URL根路径之外(例如,在/myapplication中,而不是在/中),URL_for()将为您正确处理它。
代码语言:javascript复制/
/login
/login?next=/
/user/John Doe
使用render_template()方法可以渲染模板。只需要提供模板名称和需要作为参数传递给模板的变量。
代码语言:javascript复制from flask import render_template
@app.route('/hello/')
@app.route('/hello/<name>')
def hello(name=None):
return render_template('hello.html', name=name)
Flask将在templates文件夹中查找模板。因此,如果您的应用程序是模块,则模板文件夹应位于模块的旁边;如果是包,则应在包中
代码语言:javascript复制from markupsafe import Markup
Markup('<strong>Hello %s!</strong>') % '<blink>hacker</blink>'
Markup('<strong>Hello <blink>hacker</blink>!</strong>')
Markup.escape('<blink>hacker</blink>')
Markup('<blink>hacker</blink>')
Markup('<em>Marked up</em> » HTML').striptags()
'Marked up » HTML'
模板在继承使用的情况下特别有用。有关其工作原理,请参见模板继承。简而言之,模板继承可以使每个页面的特定元素(如页眉、导航和页脚)保持一致。 默认情况下,自动转义处于启用状态。因此,如果名称包含HTML,它将自动转义。
代码语言:javascript复制from flask import request
with app.test_request_context('/hello', method='POST'):
# now you can do something with the request until the
# end of the with block, such as basic assertions:
assert request.path == '/hello'
assert request.method == 'POST'
当请求到来时,服务器决定生成一个新线程(或其他名称的线程,可以处理包括线程在内的并发系统)。当Flask开始其内部请求处理时,它会将当前线程作为活动环境,并将当前应用程序和WSGI环境绑定到此环境(线程)。它使一个应用程序能够以智能的方式调用另一个应用,而不会中断。