flask中url_for的坑

最新推荐文章于 2024-05-08 15:24:21 发布

原创最新推荐文章于 2024-05-08 15:24:21 发布 · 1.3k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#flask #前端 #javascript

文章讲述了在Flask框架下，如何处理404错误页面，并讨论了路由参数的处理，特别是对于`name`参数的安全性考虑。当`name`未赋值时，应用需要有对应的路由来处理这种情况。示例代码展示了如何避免XSS攻击，并强调了在定义路由时要考虑空参数的场景。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

模板文件中的page_not_found.html:

404 错误，<a href="{{ url_for('hello')}}">点击跳转到首页</a>

其中用到了hello函数

如果app.py中是这样写的：

@app.route("/<name>")
def hello(name=None):
    # name = '<script>alert("bad")</script>'
    if name:
        return f"Hello, {escape(name)}"  # 对其转义是为了防止直接运行注入代码了
    # return f"Hello, {name}"  # 直接这样写 并且用户输入的是<script>alert("bad")</script> 则会弹窗！
    else: return "Hello, World!"

那么就会报错说没有给name赋值！

则必须像以下这样写：以下只是另一个例子！

@app.route("/hello3")
@app.route("/hello3/<name>")
def hello3(name=None):
    print("请求路径: \t",request.path)
    print("请求方法: \t",request.method)
    print(dir(request))
    print("---------------")
    for req in dir(request):
        # print(req)
        try:
            print(req,end=': ')
            exec('print(request.'+req+")")
        except:
            pass
    return render_template("hello.html",name=name)

如果name为None没有赋值，则会使用第一个hello3路由！！！

同时也是使用同一个函数的操作只是说name是None的操作

感觉这就是纯纯杀软的操作，本来写一个路由就行以后记到就行参数为空时（不设置时且默认为空时）就必须写一个参数为空的情况的路由！！！

将app.py的代码改成如下就行：

只是加了第一行的内容：

@app.route("/")
@app.route("/<name>")
def hello(name=None):
    # name = '<script>alert("bad")</script>'
    if name:
        return f"Hello, {escape(name)}"  # 对其转义是为了防止直接运行注入代码了
    # return f"Hello, {name}"  # 直接这样写 并且用户输入的是<script>alert("bad")</script> 则会弹窗！
    else: return "Hello, World!"