為了解決表單驗(yàn)證之類的重復(fù)和繁瑣的問(wèn)題，可以引入Flask-WTF來(lái)讓表單使用變得簡(jiǎn)單（注：如果不使用Flask自帶的模板，而是用Angular.js等前端技術(shù)本章可以略過(guò)，因?yàn)楸韱悟?yàn)證是跟Jinjia2模板緊密關(guān)聯(lián)在一起的）。通過(guò)pip安裝：

(venv) $ pip install flask-wtf

CSRF

什么是CSRF

CSRF是Cross-Site Request Forgery Protection的縮寫，通常發(fā)生在一個(gè)站點(diǎn)發(fā)送請(qǐng)求到另一個(gè)受害者登陸的站點(diǎn)時(shí)。

如何設(shè)置保護(hù)

Flask-WTF對(duì)所有表單請(qǐng)求提供保護(hù)，為了實(shí)現(xiàn)保護(hù)你需要像下面這樣設(shè)置：

app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'

關(guān)于上述代碼的幾點(diǎn)說(shuō)明： app.config常備用來(lái)存儲(chǔ)一些配置信息，甚至還能夠從文件中導(dǎo)入配置；SECRET_KEY是常用來(lái)做加密的變量，它會(huì)被用來(lái)生成一個(gè)token，該token用于每次登陸時(shí)候的校驗(yàn)。

Form Classes

在Flask-WTF中每個(gè)表單是一個(gè)集成自Form的類，類里面定義了一些列的屬性，每個(gè)屬性又有一個(gè)或者多個(gè)的校驗(yàn)器。

from flask.ext.wtf import Form
from wtforms import StringField, SubmitField 
from wtforms.validators import Required

class NameForm(Form):
    name = StringField('What is your name?', validators=[Required()]) 
    submit = SubmitField('Submit')

如上，有幾點(diǎn)要說(shuō)明的，（1）導(dǎo)入部分有點(diǎn)奇怪，可以參考原文幫助理解 “The Flask-WTF extension is a Flask integration wrapper around the framework-agnostic WTForms package” （2）屬性部分，StringField會(huì)被轉(zhuǎn)換為input[type="field",label="What is your name?"]，提交之前會(huì)執(zhí)Require的validator，其他的屬性類也類似對(duì)應(yīng)到HTML的其他組件。更具體的組件類和校驗(yàn)器的使用，請(qǐng)參考書籍相應(yīng)部分或文檔。

HTML渲染表單

將構(gòu)建的NameForm對(duì)象form傳遞給頁(yè)面以后，就可以按照下面這種方式是用Form：

<form method="POST">
    {{ form.name.label }} {{ form.name(id='my-text-field') }} 
    {{ form.submit() }}
</form>

通過(guò)添加id或者class你就可以給這些組件添加樣式了，但是要完全使用
Bootstrap的樣式，可以導(dǎo)入helper調(diào)用wtf.quick_form(form)來(lái)快速實(shí)現(xiàn)Form的布局：

templates/index.html

{% extends "commonBase.html" %}
{% import "bootstrap/wtf.html" as wtf %}

{% block title %}Flasky{% endblock %}

{% block page_content %}
    <div class="page-header">
        <h1>Hello, {% if name %}{{ name }}{% else %}Stranger{% endif %}!</h1>
    </div>
    {{ wtf.quick_form(form) }}
{% endblock %}

index.py

from flask.ext.wtf import Form
from wtforms import StringField, SubmitField
from wtforms.validators import Required
#...
app = Flask(__name__)
app.config['SECRET_KEY'] = 'hard to guess string'
#...
class NameForm(Form):
    name = StringField('What is your name?', validators=[Required()])
    submit = SubmitField('Submit')
#...
@app.route('/')
def index():
    form = NameForm()
    return render_template('index.html', form=form)

表單響應(yīng)

閱讀如下這段代碼，看看當(dāng)?shù)谝贿M(jìn)入頁(yè)面時(shí)候；輸入空值時(shí)候；輸入部位空值的時(shí)候各是什么效果：

@app.route('/', methods=['GET', 'POST'])
def index():
    name = None
    form = NameForm()
    if form.validate_on_submit():
        name = form.name.data
        form.name.data = ''
    return render_template('index.html', form=form, name=name)

重定向和Session

在之前的例子中用戶進(jìn)入頁(yè)面時(shí)候發(fā)送的是get請(qǐng)求，填寫name提交標(biāo)案以后是post請(qǐng)求，提交完后刷新頁(yè)面，頁(yè)面會(huì)提示是否離開(kāi)當(dāng)前頁(yè)面。這是因?yàn)橹暗恼?qǐng)求是post的，刷新會(huì)導(dǎo)致重新發(fā)送該請(qǐng)求（個(gè)人電腦上實(shí)驗(yàn)沒(méi)有發(fā)生這樣的情況）。

由此引入重定向來(lái)解決這個(gè)問(wèn)題，為了防止重定向以后的數(shù)據(jù)丟失，我們要講數(shù)據(jù)存儲(chǔ)在session中， index.py改寫部分的代碼如下所示：

from flask import Flask, render_template, session, redirect, url_for
#...
@app.route('/', methods=['GET', 'POST'])
def index():
    form = NameForm()
    if form.validate_on_submit():
        session['name'] = form.name.data
        return redirect(url_for('index'))
    return render_template('index.html', form=form, name=session.get('name'))

消息提示

對(duì)于錯(cuò)誤、確認(rèn)、警告信息，F(xiàn)lask提供了flash()方法。使用分為python中調(diào)用flask()和在模板中呈現(xiàn)message兩部分；

index.py

#...
from flask import Flask, render_template, session, redirect, url_for, flash

@app.route('/', methods=['GET', 'POST'])
def index():
    form = NameForm()
    if form.validate_on_submit():
        old_name = session.get('name')
        if old_name is not None and old_name != form.name.data:
            flash('Looks like you have changed your name!')
        session['name'] = form.name.data
        form.name.data = ''
        return redirect(url_for('index'))
    return render_template('index.html',form = form, name = session.get('name'))

僅在名字發(fā)生了更新的時(shí)候調(diào)用flash()。

templates/commonBase.html

{% block content %}
    <div class="container">
        {% for message in get_flashed_messages() %} <div class="alert alert-warning">
        <button type="button" class="close" data-dismiss="alert">×</button>
        {{ message }}
        </div>
        {% endfor %}
            {% block page_content %}{% endblock %}
    </div>
{% endblock %}

之所以選擇在commonBase.html是因?yàn)閒lash messages的普遍性，get_flashed_messages()遍歷的是一個(gè)請(qǐng)求處理中可能的多個(gè)flash調(diào)用，新的請(qǐng)求會(huì)清除之前請(qǐng)求flash的message。

在Flask中的表單提交的數(shù)據(jù)可以通過(guò)request.form獲取到，