所以这很尴尬。我有一个应用程序,该应用程序已集成在一起,Flask
现在它只提供一个静态HTML页面,其中包含指向CSS和JS的链接。而且我找不到文档中Flask
描述返回静态文件的位置。是的,我可以使用,render_template
但是我知道数据没有模板化。我还以为send_file
或者url_for
是正确的事情,但我不能让这些工作。同时,我正在打开文件,阅读内容,并装配Response
具有适当mimetype的:
import os.path
from flask import Flask, Response
app = Flask(__name__)
app.config.from_object(__name__)
def root_dir(): # pragma: no cover
return os.path.abspath(os.path.dirname(__file__))
def get_file(filename): # pragma: no cover
try:
src = os.path.join(root_dir(), filename)
# Figure out how flask returns static files
# Tried:
# - render_template
# - send_file
# This should not be so non-obvious
return open(src).read()
except IOError as exc:
return str(exc)
@app.route('/', methods=['GET'])
def metrics(): # pragma: no cover
content = get_file('jenkins_analytics.html')
return Response(content, mimetype="text/html")
@app.route('/', defaults={'path': ''})
@app.route('/<path:path>')
def get_resource(path): # pragma: no cover
mimetypes = {
".css": "text/css",
".html": "text/html",
".js": "application/javascript",
}
complete_path = os.path.join(root_dir(), path)
ext = os.path.splitext(path)[1]
mimetype = mimetypes.get(ext, "text/html")
content = get_file(complete_path)
return Response(content, mimetype=mimetype)
if __name__ == '__main__': # pragma: no cover
app.run(port=80)
有人要为此提供代码示例或网址吗?我知道这将变得简单。
首选方法是使用nginx或其他Web服务器提供静态文件。他们将比Flask更有效地做到这一点。
但是,你可以使用send_from_directory
从目录发送文件,这在某些情况下非常方便:
from flask import Flask, request, send_from_directory
# set the project root directory as the static folder, you can set others.
app = Flask(__name__, static_url_path='')
@app.route('/js/<path:path>')
def send_js(path):
return send_from_directory('js', path)
if __name__ == "__main__":
app.run()
千万不能使用send_file
或send_static_file
与用户提供的路径。
send_static_file
例子:
from flask import Flask, request
# set the project root directory as the static folder, you can set others.
app = Flask(__name__, static_url_path='')
@app.route('/')
def root():
return app.send_static_file('index.html')
支持Windows:返回app.send_static_file(os.path.join('js',path).replace('\\','/'))
攻击者能否利用这种方法通过浏览/ js / <../ yourflaskapp.py“>的某种巧妙编码来浏览Flask源文件?
@kiwi
send_from_directory
旨在解决该安全问题。如果路径通向特定目录之外,则存在错误。“请勿将send_file或send_static_file与用户提供的路径一起使用。” 为什么不?
@DenisV与Python本身无关,它是用于定义URL参数的Flask约定(请参阅http://flask.pocoo.org/docs/0.12/api/#url-route-registrations)。简而言之,
<path>
它等效于<string:path>
,并且因为您希望Flask确保所要求的类似路径的参数<path:path>
。