這個(gè)系列是學(xué)習(xí)《Flask Web開發(fā):基于Python的Web應(yīng)用開發(fā)實(shí)戰(zhàn)》的部分筆記

網(wǎng)站需要能提供一個(gè)表格贞盯，讓用戶提供信息進(jìn)行注冊(cè)吞鸭、寫點(diǎn)東西

處理POST請(qǐng)求中提交的表單數(shù)據(jù)

• 用 flask 的請(qǐng)求對(duì)象，request.form，但功能很初級(jí)，需要做很多重復(fù)、額外的操作
• 一個(gè)名為 Flask-WTF 的擴(kuò)展坡慌，將 WTForms 集成到 flask 程序，可以幫助完成很多事情

CSRF(Cross-Site Request Forgery型宝，跨站請(qǐng)求偽造)攻擊

惡意網(wǎng)站在受害者不知情的情況下八匠，偽造請(qǐng)求，以受害者名義(利用用戶瀏覽器中的 cookie )發(fā)送給受害者已登錄的受攻擊站點(diǎn)趴酣，在自身沒有授權(quán)的情況下執(zhí)行用戶的某些權(quán)限的操作梨树。

IBM CSRF、
wiki CSRF岖寞、
wiki cookie

為了進(jìn)行防御抡四，需要在響應(yīng)的表單(不在 cookie 中)中添加一個(gè)攻擊者無法偽造的信息，即隨機(jī)產(chǎn)生的token仗谆，然后在提交表單的請(qǐng)求中送回指巡，進(jìn)行比對(duì)驗(yàn)證

在程序的配置中設(shè)置一個(gè)密鑰，啟用 CSRF 保護(hù)

CSPR_ENABLED = True # 啟用 CSPR (跨站請(qǐng)求偽造) 保護(hù)隶垮，在表單中使用藻雪，隱藏屬性
SECRET_KEY = 'this-is-safe-and-you-never-guess-it' # 建立一個(gè)用于加密的密鑰，驗(yàn)證表單

使用：

如果是使用 Flask-WTF 自動(dòng)化表單的一些操作狸吞，會(huì)自動(dòng)用密鑰生成一個(gè)隨機(jī)的加密令牌勉耀，放入響應(yīng)中，并要求在用戶提交的請(qǐng)求中送回蹋偏，通過對(duì)比是否一致便斥，判斷表單的真?zhèn)?/p>

如果是手動(dòng)寫，添加

    {{ form.hidden_tag() }}

表單類

表單的創(chuàng)建威始，可以通過繼承從 Flask-WTF 導(dǎo)入的Form父類實(shí)現(xiàn)

from flask.ext.wtf import Form # 表單類枢纠，從第三方擴(kuò)展的命名空間 導(dǎo)入

表單類中需要定義 屬性/字段，值是字段類型類黎棠，就是將要在 HTML 中顯示的表單各個(gè)字段晋渺，其實(shí)就是對(duì) HTML 表單各種標(biāo)簽的包裝

from wtforms import StringField, BooleanField, SubmitField, PasswordField, TextAreaField, SelectField # 字段類型類镰绎，字符串、布爾值些举、提交跟狱、密碼、文本區(qū)域户魏、選擇框

字段類型類(說明文本驶臊，驗(yàn)證器列表)

驗(yàn)證器列表，檢查用戶填寫表單時(shí)輸入的內(nèi)容是否符合我們的期望叼丑，有多個(gè)驗(yàn)證器時(shí)关翎，需要同時(shí)通過驗(yàn)證

from wtforms.validators import DataRequired, Required, Length, Email  , Regexp, EqualTo # 驗(yàn)證器，直接從 wtforms.validators 導(dǎo)入

# 普通用戶的資料編輯表單
class EditProfileForm(Form):
    name = StringField('Real name', validators=[Length(0, 64)]) # 因?yàn)槭强蛇x鸠信，允許長(zhǎng)度為0
    location = StringField('Location', validators=[Length(0, 64)])
    about_me = TextAreaField('About me') # 文本區(qū)域纵寝，可以多行，可以拉動(dòng)
    submit = SubmitField('Submit')

可以在 表單類 中星立，通過定義validate_開頭的類方法爽茴，自定義驗(yàn)證器，用ValidationError定義報(bào)錯(cuò)的提示信息绰垂。自定義的驗(yàn)證器會(huì)和在用戶提交表單時(shí)自動(dòng)被調(diào)用

from wtforms import ValidationError


# 管理員的資料編輯表單
class EditProfileAdminForm(Form):
    # 檢查提交的昵稱
    # 如果字段值沒有變室奏，跳過驗(yàn)證
    # 如果新的與舊的不同，但與其他用戶的昵稱沖突劲装，報(bào)錯(cuò)
    # 如果有變化胧沫，且與其他用戶不沖突，驗(yàn)證通過
    def validate_username(self, field):
        if field.data != self.user.username and User.query.filter_by(username=field.data).first():
            raise ValidationError('Username already in use.')

渲染

將表單渲染成 HTML

如果是 WTF()

{% import "bootstrap/wtf.html" as wtf %}

{{ wtf.quick_form(form) }}  # 渲染時(shí)占业，將 form 作為參數(shù)傳遞給模板

如果是手動(dòng)寫

<form method="POST"> # 表單提交方式為 POST
    {{ form.hidden_tag() }}
    {{ form.name.label }} {{ form.name() }}
    {{ form.submit() }}
</form>

在視圖中的處理

導(dǎo)入定義的表單類

from .forms import  EditProfileForm

在匹配 URL 和 HTTP 的請(qǐng)求方式時(shí)绒怨，需要添加 POST 方法，默認(rèn)只處理 GET 請(qǐng)求

其實(shí) HTTP 中 GET方式 和 POST方式 都可以提交表單中填寫的數(shù)據(jù)谦疾，區(qū)別是南蹂，GET方式會(huì)將數(shù)據(jù)以查詢字符串的形式放到 URL 中提交，POST方式 會(huì)將數(shù)據(jù)保存在 HTTP 主體中提交

# 個(gè)人主頁(yè)編輯頁(yè)面
@main.route('/edit_profile', methods=['GET', 'POST'])

實(shí)例化表單類

    form = EditProfileForm()

查看提交的數(shù)據(jù)是否能被所有驗(yàn)證器驗(yàn)證通過念恍，如果通過碎紊，通過form.字段名.data獲取指定字段的內(nèi)容，并保存到數(shù)據(jù)庫(kù)樊诺，否則，設(shè)置表單字段為當(dāng)前值(如果是修改或編輯頁(yè)面)音同，或直接返回空表單(注冊(cè)词爬、登陸 頁(yè)面)

    if form.validate_on_submit():
        current_user.name = form.name.data
        current_user.location = form.location.data
        current_user.about_me = form.about_me.data
        db.session.add(current_user)
        db.session.commit()
        flash('Your profile has been updated')
        return redirect(url_for('.user', username=current_user.username)) # 提交后，轉(zhuǎn)到個(gè)人主頁(yè)权均，顯示編輯結(jié)果
    # 如果是 GET顿膨，或 驗(yàn)證器不通過锅锨，顯示目前的資料內(nèi)容
    form.name.data = current_user.name 
    form.location.data = current_user.location
    form.about_me.data = current_user.about_me
    return render_template('edit_profile.html', form=form)

登陸頁(yè)面的例子：

from .forms import LoginForm

# 登錄頁(yè)面，填寫表單恋沃、認(rèn)證
@auth.route('/login', methods = ['GET', 'POST']) # 接收 url 為 `/login`, HTTP 方式為 'GET' 和 'POST' 的請(qǐng)求
def login():
    form = LoginForm() # 創(chuàng)建實(shí)例必搞，表示表單
    if form.validate_on_submit(): # 如果 通過 post 提交的表單，數(shù)據(jù)通過了所有驗(yàn)證器的檢查
        user = User.query.filter_by(email=form.email.data).first() 
        if user is not None and user.verify_password(form.password.data): 
            login_user(user, form.remember_me.data) 
            return redirect(request.args.get('next') or  url_for('main.index'))
        flash('Invalid username or password.')

    return render_template('auth/login.html', form=form)

刷新

如果提交表單后囊咏，點(diǎn)擊瀏覽器刷新按鈕恕洲，會(huì)要求在瀏覽器再次提交表單前進(jìn)行確認(rèn)

這是因?yàn)椋⑿马?yè)面時(shí)梅割，瀏覽器會(huì)重新發(fā)送最后一次發(fā)送過的請(qǐng)求

為了避免用戶遇到這種情況霜第，需要避免讓 POST 請(qǐng)求作為瀏覽器最后發(fā)出的一個(gè)請(qǐng)求

POST/重定向/GET 模式

對(duì)于用戶的 POST 請(qǐng)求，如果驗(yàn)證通過户辞，使用重定向作為響應(yīng)泌类，使得瀏覽器向 響應(yīng)中的重定向URL 發(fā)送 GET 請(qǐng)求，這樣就可以正常刷新了

返回重定向響應(yīng)的方法

return redirect(url_for('auth.login')) 使用redirect()函數(shù)底燎，將目標(biāo) URL 作為參數(shù)

# 注冊(cè)頁(yè)面
@auth.route('/register', methods = ['GET', 'POST']) # 初次 get 請(qǐng)求獲取空白表單刃榨，然后 post 請(qǐng)求提交填寫后的表單
def register():
    form = RegistrationForm()
    if form.validate_on_submit():

        return redirect(url_for('auth.login')) # 重定向到登陸頁(yè)面, 讓用戶登陸。瀏覽器向 login url 發(fā)送 get 請(qǐng)求双仍。
    return render_template('auth/register.html', form=form)

通用密鑰

SECRET_KEY 不僅可以用于 CSRF 還可以用于加密 cookie

cookie 是網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端（Client Side）上的數(shù)據(jù)

默認(rèn)情況下,用戶會(huì)話保存在客戶端 cookie 中,使用設(shè)置的 SECRET_KEY 進(jìn)行加密簽名枢希。如果篡改了 cookie 中的內(nèi)容,簽名就會(huì)失效,會(huì)話也會(huì)隨之 失效。

在下一個(gè)返回的響應(yīng)中顯示當(dāng)前處理結(jié)果的消息

請(qǐng)求完成后,有時(shí)需要讓用戶知道狀態(tài)發(fā)生了變化殊校。

通過函數(shù)flash()和get_flashed_messages()晴玖，可以將當(dāng)前請(qǐng)求處理的結(jié)果，在下一個(gè)返回的響應(yīng)中顯示

兩步：

• 在 view 中为流，用函數(shù)flash()定義呕屎、收集消息

# 退出，跳轉(zhuǎn)到主頁(yè)
@auth.route('/logout')
@login_required # 保護(hù)路由敬察，只允許已登陸用戶訪問秀睛。Flask-Login 提供的裝飾器，將用戶重定向到 登陸頁(yè)面
def logout():
    logout_user() # 刪除并重設(shè)用戶會(huì)話
    flash('You have been logged out.')
    return redirect(url_for('main.index'))

當(dāng)前處理的響應(yīng)是重定向URL莲祸，然后在瀏覽器向 重定向的URL 請(qǐng)求的響應(yīng)中顯示

需要注意蹂安，可以多次調(diào)用 flash() 收集多條消息，形成隊(duì)列锐帜，但所有消息都只能顯示一次

• 在模板中調(diào)用函數(shù)get_flashed_messages()顯示所有收集的消息

因?yàn)榭赡荜?duì)列中有多條消息田盈，所以需要用 for 循環(huán)獲取

    {% for message in get_flashed_messages() %} 
         {{ message }}
    {% endfor %}