Flask扩展库 | Flask-WTF学习

最新推荐文章于 2025-06-29 09:23:38 发布
原创 最新推荐文章于 2025-06-29 09:23:38 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Flask #flask_wtf #表单 #form #wtforms

本文介绍Flask-WTF库的使用,包括安全表单、文件上传和reCAPTCHA功能,以及如何在Flask应用中集成CSRF保护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Flask-WTF是Flask与WTForms的简单集成,是Flask的一个扩展库,实现的功能如下:

  1. 集成了WTForms
  2. 使用CSRF token保护表单(防止CSRF);
  3. 全球CSRF保护;
  4. 支持reCAPTCHA(验证码);
  5. 使用Flask-Uploads支持文件上传
  6. 使用Flask-Babel提供国际化。

CSRF:Cross-Site Request Forgery简写,跨站请求伪造。Flask-WTF封装了防止CSRF功能。原理可参考博客
WTForms:是一个用于Python Web开发的提供灵活的表单验证和渲染的库。
表单:在网页中主要负责数据采集功能。一个表单有3个基本组成部分(表单标签、表单域、表单按钮)。

flask_wtf源码 目录结构:

├── _compat.py
├── csrf.py             ----防止CSRF
├── file.py             ----文件上传
├── form.py             ----表单
├── html5.py
├── i18n.py             ----国际化
├── __init__.py
└── recaptcha           ----验证码
    ├── fields.py
    ├── __init__.py
    ├── validators.py
    └── widgets.py

1、安装

不作过多讲述
像其他Flask扩展一样,安装时名称是flask-wtfimport时是flask_wtf,注意横线、下划线,这是惯例。

2、表单

创建表单主要是3方面:
  1. 安全表单
  2. 文件上传(表单)
  3. reCAPTCHA(表单)

2.1、安全表单

2.1.1、创建表单

from flask_wtf import FlaskForm # 从flask_wtf包中的__init__.py导入这个FlaskForm类,来自forms.py模块
from wtforms import StringField # 从wtforms包导入StringField类
from wtforms.validatiors import DataRequired

class MyForm(FlaskForm):
	name = StringField('name', validators=[DataRequired()])

注意:从flask-wtf 0.9.0开始,Flask-WTF不再从wtforms import任何内容,因此必须开发者自己从wtforms去导入(如StringField等)
另外,CSRF token 会被自动创建,我们可以在模板中渲染它:

<form method="POST" action="/">
	{{ form.csrf_token }}
	{{ form.name.label }} {{ form.name(size=20) }}
	<input type="submit" value="Go">
</form>

假如在表单中有多个隐藏字段(??),可在块中使用hidden_tag():

<form method="POST" action="/">
	{{ form.hidden_tag() }}
	{{ form.name.label }} {{ form.name(size=20) }}
</form>

默认情况下
FlaskForm就是一个具有CSRF保护的session安全表单了。如果不想CSRF保护,可传入:

form = FlaskForm(csrf_enabled=False)

也可以在全局上配置它,但不建议这么做:

WTF_CSRF_ENABLED = False

为了生成csrf token,我们必须有一个secret key,通常它与我们的Flask app的secret key是相同的。但是若想设置一个不同的,也可以:

WTF_CSRF_SECRET_KEY = ' a random string'

2.1.2、验证表单

在view handler中验证请求:

@app.route('/submit', methods=('GET', 'POST'))
def submit():
	form = MyForm()
	if form.validate_on_submit():
		return redirect('/success')
	return render_template('submit.html', form=form)

注意:我们不必将request.form传递给Flask-WTF,因为它将自动load;便捷的是validate_on_submit将检查它是否为一个POST请求、以及是否有效。

2.2、文件上传

2.2.1、创建文件上传表单

Flask-WTF提供的FileField类 不同于WTForms提供的。它会检查文件是一个FileStorage的非空实例,另外data将是None。

from flask_wtf import FlaskForm
from flask_wtf.file import FileField, FileRequired
from werkzeug.utils import secure_filename

class PhotoForm(FlaskForm):
	photo = FileField(validators=[FileRequired()])

@app.route('/upload', methods=['GET', 'POST'])
def unpload():
	if form.validate_on_submit():
		f = form.photo.data
		filename = secure_filename(f.filename)
		f.save(os.path.join(
			app.instance_path, 'photos', filename
		))
		return redirect(url_for('index'))
	return render_template('upload.html', form=form)

记得将HTML模板 form标签的enctype设置为multipart/form-data,另外request.files为空:

<form method="POST" enctype="multipart/form-data">
	...
</form>

Flask-WTF handler将会为我们将form data传递给表单。如果想在data中显式地传递,记得request.form必须结合request.files,这样让表单看到file data。

form = PhotoForm()

# 等价于
from flask import request
from werkzeug.datastructures import CombinedMultiDict
form = PhotoForm(CombinedMultiDict((request.files, request.form)))

2.2.2、验证表单

Flask-WTF通过FileRequiredFileAllowed验证文件上传。他它们使用Flask-WTF和WTForms的FileField类都行。FileAllowed将和Flask-Uploads一起工作。

from flask_uploads import UploadSet, IMAGES
from flask_wtf import FlaskForm
from flask_wtf.file import FileField, FileAllowed, FileRequired

images = UploadSet('images', IMAGES)

class UploadForm(FlaskForm):
	upload = FileField('image', validators=[
		FileRequired(), FileAllowed(images, 'Images only!')
	])

也可以直接通过传递扩展名,而不使用Flask-Uploads:

class UploadForm(FlaskForm):
    upload = FileField('image', validators=[
        FileRequired(),
        FileAllowed(['jpg', 'png'], 'Images only!')
    ])

2.3、reCAPTCHA(验证码)

Flask-WTF 通过RecaptchaField提供了reCAPTCHA:

from flask_wtf import FlaskForm, RecaptchaField
from wtforms import TextField

class SignupForm(FlaskForm):
	username = TextField('Username')
	recaptcha = RecaptchaField()

下方提供了一些配置,得实现它们:

RECAPTCHA_PUBLIC_KEYrequired A public key.
RECAPTCHA_PRIVATE_KEYrequired A private key.
RECAPTCHA_API_SERVERoptional Specify your Recaptcha API server.
RECAPTCHA_PARAMETERSoptional A dict of JavaScript (api.js) parameters.
RECAPTCHA_DATA_ATTRSoptional A dict of data attributes options. https://developers.google.com/recaptcha/docs/display

以下是RECAPTCHA_PARAMETERSRECAPTCHA_DATA_ATTRS的示例:

RECAPTCHA_PARAMETERS = {'hl': 'zh', 'render': 'explicit'}
RECAPTCHA_DATA_ATTRS = {'theme': 'dark'}

为了测试应用程序,假如app.testingTrue,recaptcha字段必须总是有效。
它可以在模板中很容易地设置:

<form action="/" method="post">
    {{ form.username }}
    {{ form.recaptcha }}
</form>

3、CSRF保护

任何使用FlaskForm来处理请求的视图都已经得到CSRF的保护。如果我们有不使用FlaskForm 或创建Ajax请求的视图,也可以使用所提供的CSRF扩展来保护这些请求的。

3.1、setup

若要对一个Flask应用程序全局提供CSRF保护,可注册CSRFProtect扩展。如下:

from flask_wtf.csrf import CSRFProject

csrf = CSRFProtect(app)

也可以像其他Flask扩展一样,这样使用:

csrf = CSRFProject()

def create_app():
	app = Flask(__name__)
	csrf.init_app(app)

注意:CSRF保护需要一个密钥来安全地签名token。默认情况下,它会使用Flask应用程序的SECRET_KEY。当然也可以单独地设置WTF_CSRF_SECRET_KEY

3.2、HTML Forms

当在使用一个FlaskForm时,可以像正常一样渲染表单的CSRF字段:

<form method="post">
	{{ form.csrf_token }}
</form>

如果模板没有使用FlaskForm,可以这样在表单中渲染一个带有token的隐藏输入:

<form method="post">
	<input type="hidden" name="csrf_token" value="{{ csrf_token() }}"/>
</form>

3.3、JavaScript Requests

当发送一个AJAX请求时,可以添加X-CSRFToken header给它。例如,在jQuery中,可以配置所有请求去发送这个token: 
<script type="text/javascript">
    var csrf_token = "{{ csrf_token() }}";

    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
            if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrf_token);
            }
        }
    });
</script>

3.4、自定义错误响应

当CSRF验证失败时,将引发CSRFError异常。默认情况下,会返回一个有失败原因和400状态码的响应。我们也可以使用Flask的errorhandler()来自定义错误响应:

from flask_wtf.csrf import CSRFError

@app.errorhandler(CSRFError)
def handle_csrf_error(e):
    return render_template('csrf_error.html', reason=e.description), 400

3.5、给某些视图取消CSRF保护

强烈建议给所有视图使用CSRF保护。但是,也可以使用装饰器排除一些视图:

@app.route('/foo', methods=('GET', 'POST'))
@csrf.exempt
def my_handler():
    # ...
    return 'ok'

也可以取消蓝图下的所有视图 保护:

csrf.exempt(account_blueprint)

也可以通过默认方式在所有视图里设置CSRF保护为不可用,即 WTF_CSRF_CHECK_DEFAULT=False。也可以在需要时,选择调用protect()。还可以在检查CSRF token前对请求进行一些预处理:

@app.before_request
def check_csrf():
    if not is_oauth(request):
        csrf.protect()

开发者API

在这里插入图片描述

参考文档:
1、官方
2、github 包含所有历史版本的源码
3、WTForms官网
4、WTForm github源码
5、官方实例
6、开发者接口----其实就是源码

附:WTForms 思维导图(其中最常用的)
在这里插入图片描述

8.2、Flask核心功能之、Flask-WTF扩展
IT老农民的博客
03-31 223
表单验证:通过定义表单字段及其验证规则,可以轻松实现对用户输入的校验。CSRF保护:自动为表单添加CSRF令牌,有效防止跨站请求伪造攻击。文件上传处理:支持文件上传,并提供文件验证功能。表单渲染:与Flask模板引擎集成,方便在模板中渲染表单Flask-WTF扩展为Flask应用提供了强大的表单处理功能,包括表单验证、CSRF保护、文件上传处理以及表单渲染等。通过使用Flask-WTF,开发者可以更加高效地开发Web应用,同时确保应用的安全性和用户体验。
Flask-WTF的完整开发示例
u013039977的博客
11-19 558
Flask-WTF 是一个基于 FlaskWTForms扩展库,它将表单处理、数据验证和 CSRF 保护集成到 Flask 应用中,帮助开发者更轻松地处理 HTML 表单和用户输入。文章中的示例展示了 Flask-WTF 的完整使用流程,包括表单定义、验证、渲染以及用户交互处理。它适合开发者快速上手 Flask-WTF 的核心功能,并可以进一步扩展到更复杂的表单应用场景。
Flask 扩展文档汇总(中文)
09-03
将 Python 中文学习大本营 里面涉及 Flask 的十多个文档(如 Flask Babel, DebugToolbar, Cache, Celery, PyMongo, SQLAlchemy, Exceptional, WTF, Login... )打包整理成 PDF ,便于手机阅读,有需要的同学可以收藏。 ---------------------------------------------------- 本 PDF 基于开源文档,目录书签齐全。 版权归原作者,翻译版权归译者。 ----------------------------------------------------
Flask-WTF 技术详解:Flask表单处理的最佳实践
最新发布
gitblog_00877的博客
06-29 865
Flask-WTF 技术详解:Flask表单处理的最佳实践 什么是Flask-WTF Flask-WTFFlask框架与WTForms表单库之间的桥梁,它简化了在Flask应用中处理Web表单的流程。这个扩展不仅提供了表单生成和验证功能,还内置了重要的安全特性,如CSRF保护,是开发安全Flask应用的必备工具。 核心特性解析 1. 无缝集成WTForms Flask-WTF完美整合了WTFor...
Flask扩展库具体有哪些功能
Flask Web
08-28 1022
Flask扩展库Flask应用提供了丰富的功能增强,这些扩展通常用于增加特定的功能或解决公共任务,如数据库操作、表单处理、用户认证、邮件发送等。
Flask-WTF
Flask Web
08-29 1005
Flask-WTFFlask框架的一个扩展,它简化了WTForms(Web表单处理库)在Flask应用中的使用。WTForms本身提供了表单验证和渲染模板的功能,而Flask-WTF在此基础上增加了更多的特性,如CSRF保护、文件上传支持、国际化集成等。
flask-wtf
github_40094105的博客
10-07 2384
request.form 获取POST请求中提交的表单数据 Flask 请求的对象提供的信息足够用于处理web表单,但是人物单调,重复 例如:生成表单的HTML代码和验证提交的表单数据Flask-WFT将处理web表单的过程变得比较有趣安装: pip install flask-wtf功能: flask-wtf可以保护表单免受 跨站请求伪造(CSRF)的攻击 恶意网站将请求发送到被攻击者已
Flask笔记(3)--扩展包Flask-WTFFlask-Moment
lianxiaopang的博客
11-15 736
flask_wtf是一个关于表单扩展库,默认情况下, Flask-WTF 能保护所有表单免受跨站请求伪造( Cross-Site Request Forgery,CSRF)的攻击。恶意网站把请求发送到被攻击者已登录的其他网站时就会引发 CSRF 攻击。 flask_moment是一个将时间本地化的库,用于国际化。
使用Python的Flask框架表单插件Flask-WTF实现Web登录验证
09-21
在Python的Web开发中,Flask是一个轻量级的框架,而Flask-WTFFlask的一个扩展,它集成了WTForms库,用于处理表单数据。本文将深入讲解如何利用Flask-WTF来实现Web登录验证。 首先,我们要了解Flask-WTF的基本使用...
Flask学习——Web表单(普通表单Flask-WTF
12-20
Flask,一个轻量级的Python Web框架,提供了处理表单的强大工具,特别是通过集成Flask-WTF扩展。本篇文章将深入探讨Flask中的Web表单处理,包括普通表单和使用WTForms的方法。 ### 一、概述 Web表单由三个主要部分...
python实现:Flask_WTF表单
LinRuiC的博客
11-21 614
Web表单 web表单是web应用程序的基本功能。 它是HTML页面中负责数据采集的部件。表单有三个部分组成:表单标签、表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。 在Flask中,为了处理web表单,我们一般使用Flask-WTF扩展,它封装了WTForms,并且它有验证表单数据的功能 WTForms支持的HTML标准字段 字...
Python——Flask_wtfform表单
DCclient的博客
11-04 2052
前言: 在Flask中,为了处理web表单,可以选择使用Flask-WTF扩展,它封装了WTForms,并且它有验证表单数据的功能。 具体内容: 首先请确认环境安装了flask_wtf插件,如果未安装在环境中使用pip安装方式安装即可; 具体使用步骤如下: # coding:utf-8 from flask import Flask, render_te...
使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南
PythonWeb实践
04-17 1460
通过以上步骤,我们已经成功地在 Flask 应用中实现了 Flask-WTF 的 CSRF 保护功能。这将确保我们的应用在处理表单数据时具有更高的安全性。使用 Flask-WTF 防止跨站请求攻击(CSRF):一份全面指南。
Flask常用扩展包
ioooooooooi的博客
06-07 1890
Flask-SQLalchemy:操作数据库;Flask-script:插入脚本;Flask-migrate:管理迁移数据库;Flask-Session:Session存储方式指定;Flask-WTF表单Flask-Mail:邮件;Flask-Bable:提供国际化和本地化支持,翻译;Flask-Login:认证用户状态;Flask-OpenID:认证;Flask-RESTful:开发REST...
Flask使用Flask-WTF表单
小马同学
03-24 2986
Flask-WTF Flask-WTFFlask框架的表单验证模块,Flask-WTF表单数据解析、CSRF保护、文件上传等功能与Flask集成。 安装 Flask-WTF及其依赖可使用pip安装 pip install flask-wtf 安装成功如下: 跨站请求伪造保护 默认请求下,Flask-WTF能保护所有表单免受跨站请求伪造(CSRF)的攻击。为了实现CSRF保护,Flask-WTF需要程序设置一个密钥。Flask-WTF使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪。设置密钥
Flask-WTF扩展
FatPuffer
03-25 307
不使用Flask-WTF扩展时,表单需要自己处理 <!DOCTYPE html> <html> <head> <title></title> </head> <body> <form method='post'> <input type="text" name="u...
Flask web表单 Flask-WTF表单扩展
DevOps海洋的渔夫@专栏
12-18 332
Web表单 web表单是web应用程序的基本功能。 它是HTML页面中负责数据采集的部件。表单有三个部分组成:表单标签、表单域、表单按钮。表单允许用户输入数据,负责HTML页面数据采集,通过表单将用户输入的数据提交给服务器。 在Flask中,为了处理web表单,我们一般使用Flask-WTF扩展,它封装了WTForms,并且它有验证表单数据的功能。 安装Flask-WTF扩展 pi...
Flask WTF
weixin_50199986的博客
12-02 1862
Flask WTF 在以为的开发过程当中,我们可以实现数据的上传,获取,但是在数据提交的过程当中,没有进行任何的数据校验,并且对提交者身份,位置都没有校验,这样的表单存在很大的风险。 WTF提交校验 web校验分为两种: ​ 前端校验: 在页面上,使用js对提交的数据进行校验,由于可以通过浏览器的调试模式可以修改前端代码,而且可以不通过表单提交数据,所以有缺陷。 ​ onsubmit = “return fun()” ​ 后端校验:在数据提交到服务器,进行处理之前,进行逻辑校验,这样的校验也会加重服务器的压
Flask扩展
咖啡男孩之SRE之路
04-06 766
Flask的一些扩展功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值