继续学习flask,今天学到了:html-escaping 这一节。
这节讲了一escape这个函数,我写了一小段代码来测试下。
from flask import Flask
from markupsafe import escape
app = Flask(__name__)
@app.route('/hello1/<path:name>')
def hello_world1(name):
return 'Hello %s!' %name
@app.route('/hello2/<path:name>')
def hello_world2(name):
return 'Hello %s!' %escape(name) # 加上escape
@app.route('/hello3/<name>')
def hello_world3(name):
return 'Hello %s!' %escape(name)
if __name__ == '__main__':
app.run(debug=True)
因为flask的路由函数接收到内容后会默认把他当成html来解析,这样就有可能产生安全问题。所以需要引入escape函数来避免一些不合法的输入,例如
<script>alert("bad")</script>
这种类型的js脚本。
hello_world1:
hello_world2:
hello_world3:
其实我最开始的代码就是hello_world3,但是输了后发现报错,原因是这一串js代码里有斜线,而flask把斜线当成路由的分隔标志。所以这里就出错了。正确的应该是像hello_world1中那样。
今天学到的其他知识:
flask运行的程序默认只能本机访问,如果需要让其他地址访问,需要在运行时加上--host=0.0.0.0
。