在Flask 中提供靜態檔案:綜合指南
Flask 提供輕鬆的靜態檔案服務,通常用於HTML 頁面、樣式表和JavaScript 檔案。雖然看起來很簡單,但了解避免安全漏洞的建議方法至關重要。
使用資料夾設定
在生產中,將靜態檔案服務委託給專用網路伺服器,例如 Nginx 或 Apache,以有效處理高流量。配置這些伺服器以向包含靜態檔案的特定資料夾提供請求。
Flask 的靜態檔案路由
Flask 自動為位於「/」中的靜態檔案建立路由與 Flask 應用程式相鄰的「static」資料夾。可使用 url_for 存取此路由:
url_for('static', filename='js/analytics.js')使用 send_from_directory
如果需要自訂路由或權限檢查,請考慮 send_from_rectory。它確保使用者提供的路徑包含在安全目錄中:
@app.route('/reports/<path:path>')
def send_report(path):
return send_from_directory('reports', path)安全注意事項
避免將 send_file 或 send_static_file 與使用者提供的路徑一起使用。這些方法容易受到目錄遍歷攻擊。相反,選擇 send_from_directory,它可以安全地處理已知目錄中使用者提供的路徑。
從記憶體中提供檔案
對於在記憶體中產生但未寫入的檔案系統,將 BytesIO 物件傳遞給 send_file。為無法推斷的文件元資料指定附加參數。
以上是如何在 Flask 應用程式中安全地提供靜態檔案?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
