Flask框架在项目中关于调试模式和URL的运用和表现

调试模式

调试器允许从浏览器执行任意Python代码。虽然它有别针保护，但仍然存在巨大的安全风险。不要在生产环境中运行开发服务器或调试器。

$ set -x FLASK_ENV development$ flask run

当返回HTML（Flask中的默认响应类型）时，必须在输出呈现之前转义所有用户提供的值，以防止注入。使用Jinja呈现的HTML模板（稍后将描述）将自动执行此操作。 下面显示的转义（）可以手动转义。为了简洁起见，在大多数示例中都省略了它，但您应该始终小心处理不受信任的数据。

from markupsafe import escape@app.route("/<name>")def hello(name): return f"Hello, {escape(name)}!"

如果用户希望将其名称提交为，最好将其转义为文本，而不是在浏览器中执行脚本。

@app.route('/')def index(): return 'Index Page'@app.route('/hello')def hello(): return 'Hello, World'

![在这里插入图片描述](​​http://img.558idc.com/uploadfile/allimg/python/8b769f9560824f3795c540750f502fac.png​​

URL

url_for（）函数用于构建指定函数的url。它将函数名作为第一个参数。它可以接受任何关键字参数，每个关键字参数都对应于URL中的一个变量。未知变量将作为查询参数添加到URL中。 为什么不在模板中写入URL，而是使用反转函数URL_For（）动态构造？ 反转通常比硬编码URL更具描述性。 可以在一个地方更改URL，而不是到处查找。

from flask import url_forapp = Flask(__name__)@app.route('/')def index(): return 'index'@app.route('/login')def login(): return 'login'@app.route('/user/<username>')def profile(username): return f'{username}\'s profile'with app.test_request_context(): print(url_for('index')) print(url_for('login')) print(url_for('login', next='/')) print(url_for('profile', username='John Doe'))

URL创建将为您处理特殊字符的转义，这更加直观。 生产路径始终是绝对路径，可以避免相对路径的副作用。 如果的应用程序位于URL根路径之外（例如，在/myapplication中，而不是在/中），URL_for（）将为您正确处理它。

//login/login?next=//user/John%20Doe

使用render_template（）方法可以渲染模板。只需要提供模板名称和需要作为参数传递给模板的变量。

from flask import render_template@app.route('/hello/')@app.route('/hello/<name>')def hello(name=None): return render_template('hello.html', name=name)

Flask将在templates文件夹中查找模板。因此，如果您的应用程序是模块，则模板文件夹应位于模块的旁边；如果是包，则应在包中

from markupsafe import MarkupMarkup('<strong>Hello %s!</strong>') % '<blink>hacker</blink>'Markup('<strong>Hello <blink>hacker</blink>!</strong>')Markup.escape('<blink>hacker</blink>')Markup('<blink>hacker</blink>')Markup('<em>Marked up</em> » HTML').striptags()'Marked up » HTML'

模板在继承使用的情况下特别有用。有关其工作原理，请参见模板继承。简而言之，模板继承可以使每个页面的特定元素（如页眉、导航和页脚）保持一致。 默认情况下，自动转义处于启用状态。因此，如果名称包含HTML，它将自动转义。

from flask import requestwith app.test_request_context('/hello', method='POST'): # now you can do something with the request until the # end of the with block, such as basic assertions: assert request.path == '/hello' assert request.method == 'POST'

当请求到来时，服务器决定生成一个新线程（或其他名称的线程，可以处理包括线程在内的并发系统）。当Flask开始其内部请求处理时，它会将当前线程作为活动环境，并将当前应用程序和WSGI环境绑定到此环境（线程）。它使一个应用程序能够以智能的方式调用另一个应用，而不会中断。