《Flask Web Development》第4章 表單

為了解決表單驗(yàn)證之類的重復(fù)和繁瑣的問題,可以引入Flask-WTF來讓表單使用變得簡單(注:如果不使用Flask自帶的模板,而是用Angular.js等前端技術(shù)本章可以略過,因?yàn)楸韱悟?yàn)證是跟Jinjia2模板緊密關(guān)聯(lián)在一起的)。通過pip安裝:

(venv) $ pip install flask-wtf

CSRF

什么是CSRF

CSRF是Cross-Site Request Forgery Protection的縮寫,通常發(fā)生在一個(gè)站點(diǎn)發(fā)送請求到另一個(gè)受害者登陸的站點(diǎn)時(shí)。

如何設(shè)置保護(hù)

Flask-WTF對所有表單請求提供保護(hù),為了實(shí)現(xiàn)保護(hù)你需要像下面這樣設(shè)置:

app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'

關(guān)于上述代碼的幾點(diǎn)說明: app.config常備用來存儲一些配置信息,甚至還能夠從文件中導(dǎo)入配置;SECRET_KEY是常用來做加密的變量,它會被用來生成一個(gè)token,該token用于每次登陸時(shí)候的校驗(yàn)。

Form Classes

在Flask-WTF中每個(gè)表單是一個(gè)集成自Form的類,類里面定義了一些列的屬性,每個(gè)屬性又有一個(gè)或者多個(gè)的校驗(yàn)器。

from flask.ext.wtf import Form
from wtforms import StringField, SubmitField 
from wtforms.validators import Required

class NameForm(Form):
    name = StringField('What is your name?', validators=[Required()]) 
    submit = SubmitField('Submit')

如上,有幾點(diǎn)要說明的,(1)導(dǎo)入部分有點(diǎn)奇怪,可以參考原文幫助理解 “The Flask-WTF extension is a Flask integration wrapper around the framework-agnostic WTForms package” (2)屬性部分,StringField會被轉(zhuǎn)換為input[type="field",label="What is your name?"],提交之前會執(zhí)Require的validator,其他的屬性類也類似對應(yīng)到HTML的其他組件。更具體的組件類和校驗(yàn)器的使用,請參考書籍相應(yīng)部分或文檔。

HTML渲染表單

將構(gòu)建的NameForm對象form傳遞給頁面以后,就可以按照下面這種方式是用Form:

<form method="POST">
    {{ form.name.label }} {{ form.name(id='my-text-field') }} 
    {{ form.submit() }}
</form>

通過添加id或者class你就可以給這些組件添加樣式了,但是要完全使用
Bootstrap的樣式,可以導(dǎo)入helper調(diào)用wtf.quick_form(form)來快速實(shí)現(xiàn)Form的布局:

templates/index.html

{% extends "commonBase.html" %}
{% import "bootstrap/wtf.html" as wtf %}

{% block title %}Flasky{% endblock %}

{% block page_content %}
    <div class="page-header">
        <h1>Hello, {% if name %}{{ name }}{% else %}Stranger{% endif %}!</h1>
    </div>
    {{ wtf.quick_form(form) }}
{% endblock %}

index.py

from flask.ext.wtf import Form
from wtforms import StringField, SubmitField
from wtforms.validators import Required
#...
app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'
#...
class NameForm(Form):
    name = StringField('What is your name?', validators=[Required()])
    submit = SubmitField('Submit')
#...
@app.route('/')
def index():
    form = NameForm()
    return render_template('index.html', form=form)

表單響應(yīng)

閱讀如下這段代碼,看看當(dāng)?shù)谝贿M(jìn)入頁面時(shí)候;輸入空值時(shí)候;輸入部位空值的時(shí)候各是什么效果:

@app.route('/', methods=['GET', 'POST'])
def index():
    name = None
    form = NameForm()
    if form.validate_on_submit():
        name = form.name.data
        form.name.data = ''
    return render_template('index.html', form=form, name=name)

重定向和Session

在之前的例子中用戶進(jìn)入頁面時(shí)候發(fā)送的是get請求,填寫name提交標(biāo)案以后是post請求,提交完后刷新頁面,頁面會提示是否離開當(dāng)前頁面。這是因?yàn)橹暗恼埱笫莗ost的,刷新會導(dǎo)致重新發(fā)送該請求(個(gè)人電腦上實(shí)驗(yàn)沒有發(fā)生這樣的情況)。

由此引入重定向來解決這個(gè)問題,為了防止重定向以后的數(shù)據(jù)丟失,我們要講數(shù)據(jù)存儲在session中, index.py改寫部分的代碼如下所示:

from flask import Flask, render_template, session, redirect, url_for
#...
@app.route('/', methods=['GET', 'POST'])
def index():
    form = NameForm()
    if form.validate_on_submit():
        session['name'] = form.name.data
        return redirect(url_for('index'))
    return render_template('index.html', form=form, name=session.get('name'))

消息提示

對于錯(cuò)誤、確認(rèn)、警告信息,F(xiàn)lask提供了flash()方法。使用分為python中調(diào)用flask()和在模板中呈現(xiàn)message兩部分;

index.py

#...
from flask import Flask, render_template, session, redirect, url_for, flash

@app.route('/', methods=['GET', 'POST'])
def index():
    form = NameForm()
    if form.validate_on_submit():
        old_name = session.get('name')
        if old_name is not None and old_name != form.name.data:
            flash('Looks like you have changed your name!')
        session['name'] = form.name.data
        form.name.data = ''
        return redirect(url_for('index'))
    return render_template('index.html',form = form, name = session.get('name'))

僅在名字發(fā)生了更新的時(shí)候調(diào)用flash()。

templates/commonBase.html

{% block content %}
    <div class="container">
        {% for message in get_flashed_messages() %} <div class="alert alert-warning">
        <button type="button" class="close" data-dismiss="alert">×</button>
        {{ message }}
        </div>
        {% endfor %}
            {% block page_content %}{% endblock %}
    </div>
{% endblock %}

之所以選擇在commonBase.html是因?yàn)閒lash messages的普遍性,get_flashed_messages()遍歷的是一個(gè)請求處理中可能的多個(gè)flash調(diào)用,新的請求會清除之前請求flash的message。

在Flask中的表單提交的數(shù)據(jù)可以通過request.form獲取到,

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容