/*看了官方文档发现啥也没学会,只能从头再来了,希望不会错过大作业ddl(xx)*/
/*供自己总结用,很简单浅显的总结,别骂了*/
一.了解重定向之前:
在这之前我们需要知道视图函数,视图函数返回值
首先解释一下Flask中的视图函数,下图展示的就是一个视图函数
即@xxx.route('/xxxx')开头的函数
它的作用是将URL和你的函数捆绑在一起。当用户通过URL访问你的网页时,系统将会调用你的函数,在网页中呈现出你函数的内容
@app.route('/hello')
def hello():
return '<hl>hello,wordqiong!</h1>'
下面介绍视图函数的返回值
视图函数可以返回最多由三个元素组成的元组:响应主体,状态码和首部字段。
响应主体:个人理解是html语句
状态码:就是经常查阅网站出现的404,403,eg:https://www.runoob.com/a,看看这个链接,你就可以看到404状态码了[狗头保命]
首部字段:这个是HTTP里的知识。说一下目前的理解
网页之间的信息传输的基准协议是http,通过这个固定的模式,大家可以实现互联网的自由访问,试想:你不会法语,一个法国老外也不懂中文,根本没法交流。所以http的存在就是让大家有了共同语言,那么它一定有一些语法规范。这不是我们讲的重点
http中有请求和响应报文,这两种报文中有http首部,大致结构如下:
首部字段就是我们上文提到的东西了,首部字段里存放了各种信息,[就像你的户口本一样,里面写满了你的籍贯,姓名,性别,单身状态(xx)]
通过前人的努力,如果我们想要改变首部字段内容,通过视图函数就可以轻松的实现
1.普通视图函数返回主体内容
@app.route('/hello')
def hello():
return '<hl>hello,wordqiong!</h1>'
2.返回状态码
@app.route('/hello')
def hello():
return '<hl>hello,wordqiong!</h1>',201 #默认状态码是200 表示正常处理 201表示有创建新资源,204表示无内容返回
3. 修改首部字段
@app.route('/hello')
def hello():
return ' ',302,{'Location','http://www.baidu.com'} #302表示临时重定向到某个位置
//这个代码不能运行,原因未知,下文有正确做法
二.什么是重定向
如果你通过url访问上文中的/hello,就会被重定向到www.baidu.com,所以重定向就相当于网页跳转。
flask为了实现重定向,提供了许多辅助函数 ,eg :redirect()函数。目标URL是第一个参数
from flask import Flask, redirect
# ...
@app.route('/hello')
def hello():
return redirect('http://www.baidu.com' ''',301''')
里面的301可以作为第二个参数,默认参数是302,意思是临时重定向,301是永久重定向。
三、重定向进阶:
3.1重定向回到上一个页面
拿王者举例,如果你没登录,选择了和QQ好友一起玩的话,就会跳转到QQ进行登录,登录成功后你会自动跳转回到王者荣耀。
网页同样如此 ,有些资源是用户登录后才可以访问的,如果我们想要用户登录后回到原页面,执行未完成操作,那么就需要重定向回到上一个页面
即现在有两个函数 一个是FOO,一个是BAR,我们希望用户在FOO上单击链接,最后可以回到FOO页面,在BAR单击链接,可以回到BAR页面。
@app.route('/foo')
def foo():
return '<h1>Foo page</h1><a href="%s">Do something</a>' %url_for('do_something')@app.route('/bar')def bar():return '<h1>Bar page</h1><a href="%s">Do something </a>' %url_for('do_something')@app.route('/do_something')def do_something():# do somethingreturn redirect(url_for('hello'))
可以通过两种方式
1.HTTP referer
这个是HTTP首部字段中的内容,用来记录请求发源地址。用户在A站点单击链接B,浏览器会向B发起请求,请求的数据中HTTP_REFERER就记录了用户在的原站点URL。
return redirect(request.referrer)'''获取首部字段中的referer信息,并重定向回到原站点'''
但可能因为防火墙软件或浏览器设置,有些时候就会自动清除用户在A向B中请求数据中的referer信息,所以我们要有一个后备屏障。
return redirect(request.referrer or url_for('hello'))
2.查询参数
上面那种方法是在B站点中获得发源地址的方法,即A不需要做什么额外操作,B会想办法回到A。现在这种是B省事,A麻烦一些
from flask import request@app.route('/foo')def foo():return '<h1>Foo page</h1><a href="%s">Do something and redirect</a>' %url_for('do_something', next=request.full_path)@app.route('/bar')def bar():return '<h1>Bar page</h1><a href="%s">Do something and redirect</a>' %url_for('do_something', next=request.full_path)
这里面加了个next参数,即当用户在站点A访问站点B的时候,会有一个完整路径存在在系统中
return redirect(request.args.get('next', url_for('hello')))
而在do_something中加返回值改为这个,就可以回到A了,request是一个全局,它可以访问到flask上下文中的参数值。
3.结语
两种方式结合起来就是这样的
四、重定向安全问题
上文的代码存在极大的安全隐患。给大家玩波花活:
当我点下面那个的时候,会回到当前页面,但是,当我输入这个的时候,就会出大事情
http://localhost:5000/auth/do_something_and_redirect?next=http://www.baidu.com
它跳转了。。。
你的next属性很容易被篡改,甚至referer也是如此,会导致什么后果呢
[黑客的奇怪手段增加了]
解决方案
is_safe_url函数
可以验证next值是否是程序内部url,而非程序外部。
[黑客的奇怪手段被堵死了]