调试模式

调试器允许从浏览器执行任意Python代码。虽然它有别针保护，但仍然存在巨大的安全风险。不要在生产环境中运行开发服务器或调试器。

$ set -x FLASK_ENV development
$ flask run

当返回HTML（Flask中的默认响应类型）时，必须在输出呈现之前转义所有用户提供的值，以防止注入攻击。使用Jinja呈现的HTML模板（稍后将描述）将自动执行此操作。
下面显示的转义（）可以手动转义。为了简洁起见，在大多数示例中都省略了它，但您应该始终小心处理不受信任的数据。

from markupsafe import escape

@app.route("/<name>")
def hello(name):
    return f"Hello, {escape(name)}!"

如果用户希望将其名称提交为<script>alert（“bad”）</script>，最好将其转义为文本，而不是在浏览器中执行脚本。

@app.route('/')
def index():
    return 'Index Page'

@app.route('/hello')
def hello():
    return 'Hello, World'

![在这里插入图片描述](https://img-blog.csdnimg.cn/8b769f9560824f3795c540750f502fac.png

URL

url_for（）函数用于构建指定函数的url。它将函数名作为第一个参数。它可以接受任何关键字参数，每个关键字参数都对应于URL中的一个变量。未知变量将作为查询参数添加到URL中。
为什么不在模板中写入URL，而是使用反转函数URL_For（）动态构造？
反转通常比硬编码URL更具描述性。
可以在一个地方更改URL，而不是到处查找。

from flask import url_for

app = Flask(__name__)

@app.route('/')
def index():
    return 'index'

@app.route('/login')
def login():
    return 'login'

@app.route('/user/<username>')
def profile(username):
    return f'{username}\'s profile'

with app.test_request_context():
    print(url_for('index'))
    print(url_for('login'))
    print(url_for('login', next='/'))
    print(url_for('profile', username='John Doe'))

URL创建将为您处理特殊字符的转义，这更加直观。
生产路径始终是绝对路径，可以避免相对路径的副作用。
如果的应用程序位于URL根路径之外（例如，在/myapplication中，而不是在/中），URL_for（）将为您正确处理它。

/
/login
/login?next=/
/user/John%20Doe

使用render_template（）方法可以渲染模板。只需要提供模板名称和需要作为参数传递给模板的变量。

from flask import render_template

@app.route('/hello/')
@app.route('/hello/<name>')
def hello(name=None):
    return render_template('hello.html', name=name)

Flask将在templates文件夹中查找模板。因此，如果您的应用程序是模块，则模板文件夹应位于模块的旁边；如果是包，则应在包中

from markupsafe import Markup
Markup('<strong>Hello %s!</strong>') % '<blink>hacker</blink>'
Markup('<strong>Hello &lt;blink&gt;hacker&lt;/blink&gt;!</strong>')
Markup.escape('<blink>hacker</blink>')
Markup('&lt;blink&gt;hacker&lt;/blink&gt;')
Markup('<em>Marked up</em> &raquo; HTML').striptags()
'Marked up » HTML'

模板在继承使用的情况下特别有用。有关其工作原理，请参见模板继承。简而言之，模板继承可以使每个页面的特定元素（如页眉、导航和页脚）保持一致。
默认情况下，自动转义处于启用状态。因此，如果名称包含HTML，它将自动转义。

from flask import request

with app.test_request_context('/hello', method='POST'):
    # now you can do something with the request until the
    # end of the with block, such as basic assertions:
    assert request.path == '/hello'
    assert request.method == 'POST'

当请求到来时，服务器决定生成一个新线程（或其他名称的线程，可以处理包括线程在内的并发系统）。当Flask开始其内部请求处理时，它会将当前线程作为活动环境，并将当前应用程序和WSGI环境绑定到此环境（线程）。它使一个应用程序能够以智能的方式调用另一个应用，而不会中断。