python静态框架_Python的Flask框架及Nginx实现静态文件访问限制功能

最新推荐文章于 2023-04-14 15:21:09 发布
最新推荐文章于 2023-04-14 15:21:09 发布
阅读量310 收藏
点赞数
文章标签: python静态框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39769228/article/details/111775645
版权
本文介绍了如何通过Nginx的XSendfile功能和Flask框架,实现对用户上传静态文件的访问权限限制。在Flask中设置X-Accel-Redirect头,并结合Nginx的internal指令,确保只有登录用户才能访问特定的静态资源。通过示例代码展示了具体的实现步骤。
摘要由CSDN通过智能技术生成

@app.router('/user/idcard'):

def user_idcard_page():

if user is login:

return '

Pemission Denied

', 403

可是这样的处理,还有一个问题,静态文件是交给 nginx 处理的,如果hacker找到了文件的绝对地址,直接访问 http://www.example.com/upload/user/xxx.png也是可以的。恰巧这些文件又涉及用户隐私,比如用户上传的身份证照片。那么码农可不希望第二天媒体报道,知名网站XXX存在漏洞,Hacker获取了用户身份证等信息。

为了做这样的限制,可以借助 Nginx 的一个小功能----XSendfile。 其原理也比较简单,大概就是使用了请求重定向。

我们知道,如果用Nginx做服务器前端的反向代理,一个请求进来,nginx先补捉到,然后再根据规则转发给后端的程序处理,或者直接处理返回。前者处理一些动态逻辑,后者多是处理静态文件。因此上面那个例子中,直接访问静态文件的绝对地址,Nginx就直接返回了,并没有调用后端的 user_idcard_page做逻辑限制。

为了解决这个问题,nginx提供的 XSendfile功能,简而言之就是用 internal 指令。该指令表示只接受内部的请求,即后端转发过来的请求。后端的视图逻辑中,需要明确的写入X-Accel-Redirect这个headers信息。

伪代码如下:

location /upload/(.*) {

alias /vagrant/;

internal;

}

@app.router('upload/')

@login_required

def upload_file(filename):

response = make_response()

response['Content-Type'] = 'application/png'

response['X-Accel-Redirect'] = '/vagrant/upload/%s' % filename

return response

经过这样的处理,就能将静态资源进行重定向。这样的用法还是比较常见的,很多下载服务器可以通过这样的手段针对用户的权限做下载处理。

Flask

Flask是我喜欢的web框架,Flask甚至实现了一个 sendfile的方法,比上面的做法还简单。我用vagrant作了一个虚拟机,用Flask实现了上面的需求,具体代码如下:

项目结构

project struct

project

app.py

templates

static

0.jpeg

upload

0.jpeg

nginx的配置 nginx conf

web.conf

server {

listen 80 default_server;

# server_name localhost;

server_name 192.168.33.10;

location / {

proxy_pass http://127.0.0.1:8888;

proxy_redirect off;

proxy_set_header Host $host:8888;

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

}

# 正常的静态文件

location /static/(.*) {

root /vagrant/;

}

# 用户上传的文件,需要做权限限制

location /upload/(.*) {

alias /vagrant/;

internal; # 只接受内部请求的指令

}

}

Flask 代码

app.py

from functools import wraps

from flask import Flask, render_template, redirect, url_for, session, send_file

app = Flask(__name__)

app.config['SECRET_KEY'] = 'you never guess'

def login_required(f):

@wraps(f)

def decorated_function(*args, **kwargs):

if not session.get('login'):

return redirect(url_for('login', next=request.url))

return f(*args, **kwargs)

return decorated_function

@app.route('/')

def index():

return 'index'

@app.route('/user')

@login_required

def user():

return render_template('upload.html')

# 用户上传的文件视图处理,在此处返回请求给nginx

@app.route('/upload/')

@login_required

def upload(filename):

return send_file('upload/{}'.format(filename))

@app.route('/login')

def login():

session['login'] = True

return 'log in'

@app.route('/logout')

def logout():

session['login'] = False

return 'log out'

if __name__ == '__main__':

app.run(debug=True)

简单部署

gunicorn -w4 -b0.0.0.0:8888 app:app --access-logfile access.log --error-logfile error.log

本条技术文章来源于互联网,如果无意侵犯您的权益请点击此处反馈版权投诉

本文系统来源:php中文网

本站所有资源全部来源于网络,若本站发布的内容侵害到您的隐私或者利益,请联系我们删除!

合作方式

Copyright © 2004-2018 https://www.gxlcms.com/. All Rights Reserved.

豫ICP备19030742号

weixin_39769228
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python Flask Web教程008:Flask 静态文件
惊鸿若梦一书生
02-26 1690
Flask 静态文件 Web应用程序通常需要静态文件,例如javascript文件或支持网页显示的CSS文件。在flask中这些文件是从项目所在目录的static文件夹中提供: 在下面的示例中,在index.html中的HTML按钮的OnClick事件上调用hello.js中定义的javascript函数,该函数在Flask应用程序的“/”URL上呈现。 python脚本: from flask import Flask, render_template app = Flask(__name__) @
Flask-加载静态文件
qq_27110607的博客
07-02 1789
静态文件:css文件,js文件,图片等1,加载静态文件使用的是'url_for'函数,然后第一个参数是‘static’,第二个参数需要为一个关键字参数‘filename=‘路径’。示例:<head> <meta charset="UTF-8"> <title>知了课堂</title> <link rel="stylesh...
python常见的问题与解答:PythonFlask框架Nginx实现静态文件访问限制功能
python函数基础教程
05-11 2552
@本文来源于公众号:csdn2299,喜欢可以关注公众号 程序员学府 文章目录Nginx配置Flask 这篇文章主要介绍了PythonFlask框架Nginx实现静态文件访问限制功能,Nginx方面利用到了自带的XSendfile,需要的朋友可以参考下 Nginx配置 Ngnix,一个高性能的web服务器,毫无疑问它是当下的宠儿。卓越的性能,灵活可扩展,在服务器领域里攻城拔寨,征战天下。 静态文件对于大多数website是不可或缺的一部分。使用Nginx来处理静态文件也是常见的方式。然而,一些静态文件
PythonFlask框架Nginx实现静态文件访问限制功能
09-21
主要介绍了PythonFlask框架Nginx实现静态文件访问限制功能,Nginx方面利用到了自带的XSendfile,需要的朋友可以参考下
flask从服务器加载静态文件,Nginx不会加载Flask静态文件
weixin_36141019的博客
08-06 650
新的flask/nginx/uWSGI服务器。应用程序加载和函数的预期,但非HTML/CSS模板将加载。在Chrome中使用开发人员工具显示页面未被退回。Nginx不会加载Flask静态文件“tail -f /var/log/nginx/error.log”表示文件或目录不存在。但它似乎是正确的道路。完整路径为“/opt/netmgmt/app/static/css/main.css”2016/0...
python2.7的flask框架之引用js&css等静态文件实现方法
09-18
在学习Python2.7版本的Flask框架时,引用JavaScript和CSS等静态文件是一个必不可少的环节。这篇指南将详细解释如何在Flask中正确引用静态文件,并指出需要注意的一些要点。 首先,要了解的是静态文件在Web应用中的...
python flask静态文件的管理方法
12-25
Flask也支持静态文件访问的,默认情况下只需在项目根目录下,创建名为static的目录,在应用中使用‘/static’开头的路径就可以访问了。但是为了获得更好的处理能力,推荐使用Nginx 或者其他服务器管理静态文件。 ...
毕设&课程作业_基于 Python-Flask 的微服务框架.zip
最新发布
01-22
本项目是基于 PythonFlask 框架实现的一个微服务框架,适合用作计算机专业的毕业设计或课程作业。Flask 是一个轻量级的 Web 服务器网关接口(WSGI)Web 应用框架,因其简洁而灵活的设计,深受开发者喜爱。 1. *...
python + Flask(静态资源) + uwsgi + nginx 布置项目
weixin_44794964的博客
04-14 348
python + flask + nginx + uwsgi
nginx 静态文件_nginx搭建基于python的web环境的实现步骤
weixin_39633774的博客
12-23 176
在搭建开始前,我们先来梳理下web服务工作流程,先看下图:1、用户(PC)向web服务器发起http请求2、web服务器判断用户请求文件是否为静态文件,是则直接读取静态文件并返回给用户,不是则通过WSGI协议将请求丢给web框架(django)代码处理3、看web框架是否启动django中间件,如果启用,则依据中间件对请求进行修改,如果不启用,则进入下一步4、web框架中的路由程序将根据请求中的u...
flask session机制
qq_62046696的博客
01-03 639
这里因为源码是app.config['SECRET_KEY'] = str(random.random()*100)所以这里也是100,让皇后python2 和python3运行出来得随机种子是不一样得,所以得看服务端用得哪个版本,建议从pyhotn3到python2如果不对,都试试。然后直接访问/app/hard_t0_guess_n9f5a95b5ku9fg/hard_t0_guess_also_df45v48ytj9_main.py出源码,整理得。除了admin用户不能直接登陆,其他用户都可以。
Flask+vue打包静态资源后显示空白及static文件路径报错
zucheng10的专栏
01-09 2399
使用flask+vue做前后端分离: 先做vue前端工程,参考菜鸟教程安装好vue并运行helloworld的页面; 然后打包前端代码: npm run build 会得到的前端文件如下 到此前端就准备好了。 接下来是准备flask,参考官网文档安装好flask,并启动一个最小应用, from flask import Flask app = Flask(__name__) @app.route('/') def hello_world(): return 'Hell..
flask学习笔记--flask内置session处理机制
热门推荐
xuewen小渣渣的博客
06-23 2万+
一·、什么是session? 在解析 session 的实现之前,我们先介绍一下 session 怎么使用。session 可以看做是在不同的请求之间保存数据的方法,因为 HTTP 是无状态的协议,但是在业务应用上我们希望知道不同请求是否是同一个人发起的。比如张三,王二都在自己的手机上用淘宝购物,将想购买的商品放入购物车中,当王二,张三结账时,不能将他俩的购物车混淆了,服务器区分和保存购物车数据...
Flask获取请求参数
u014490943的博客
11-20 235
4.3 获取请求参数 from flask import request 就是 Flask 中表示当前请求的 request 对象,request对象中保存了一次HTTP请求的一切信息。前三个比较常用: 在python2中在非英文字符前加字母’u’可以解决编码错误问题 U’中国’% sa # 接口 api # 127.0.0.1:5000/...
pythonflask+nginx配置
weixin_34362790的博客
05-16 623
背景信息 有wordpress服务A 有flask服务B, gunicorn启动,8个进程 用nginx代理,实现访问A然后跳转到B 问题 flask服务B上有文件上传操作,用nginx后发现无法上传大文件。 解决: nginx代理配置中有文件大小限制client_max_body_size,修改即可 location /test{ proxy_pass...
pythonFlask项目启动静态资源访问问题
feinifi的博客
03-12 2838
flask项目启动,默认静态资源路径是static目录,可以通过url+路径的方式访问这些静态资源,还可以通过设置static_folder参数来改变这个默认目录。
flask send_file&send_from_directory
Claroja
12-28 1万+
flask.send_file(filename_or_fp, mimetype=None, as_attachment=False, attachment_filename=None, add_etags=True, cache_timeout=None, conditional=False, last_modified=None) 参数 说明 filename_or_fp 需要发送
nginx映射后报404错误
pea378的博客
07-18 3600
今天新开了个tomcat服务,想开个外网映射给异地的同事访问,结果网管不在,做不了配置。想起以前有nginx已经映射过了,那我添加个地址不就可以了,说干就干,直接打开conf,配置如下: location /hwms_ee/ { fastcgi_keep_conn on; # < solution proxy_b...
Python网络开发:Flask, Tornado与Nginx实战
本书《 Beginning Web Development with Python》探讨了使用Python进行web开发的基础,特别是聚焦于轻量级框架Flask、异步Web服务器Tornado以及反向代理服务器Nginx。这本书可能是第二版,作者希望通过分享知识来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值