Flask-WTF擴展可以把處理Web表單的過程變成一種愉悅的體驗。這個擴展對獨立的WTForms包進行了包裝,方便集成到Flask程序中。

  Flask-WTF及其依賴可使用pip安裝:

1 pip install flask-wtf

  跨站請求僞造保護

  默認情況下,Flask-WTF能保護所有表單免受跨站請求僞造的攻擊。惡意網站把請求發送到被攻擊者已登錄的其他網站時就會引發CSRF攻擊。

  爲了實現CSRF保護,Flask-WTF需要程序設置一個密匙。Flask-WTF使用這個密匙生成加密令牌,再用令牌驗證請求中表單數據的真僞。設置密匙的方法如下:

1 app = Flask(__name__)
2 app.config['SECRET_KEY'] = 'hard to guess string'

  app.config字典可以用來存儲框架、擴展和程序本身的配置變量。使用標準的字典句發就能把配置值添加到app.config對象中。這個對象還提供了一些方法,可以從文件或環境中導入配置值。

  SECRET_KEY配置變臉是通用密匙,可在Flask和多個第三方擴展中使用,如其名,加密強度取決與變量值的機密程度。不同的程序要使用不同的密匙,而且要保證其他人不知道你所用的字符串。

  爲了增強安全性,密匙不應該直接寫入代碼,而要保存在環境變量中。

  表單類

  使用Flask-WTB時,每個WEB表單都由一個繼承自Form的類表示。這個類定義表單中的一組字段,每個字段都用對象表示。字段對象可附屬一個或多個驗證函數。驗證函數用來驗證用戶提交的輸入值是否符合要求。

 

1 from flask.ext.wtf import  Form
2 from wtforms import StringField,SubmitField
3 from wtforms.validators import Required
4 
5 class NameForm(Form):
6     name = StringField('what is your name?',validators=[Required()])
7     submit = SubmitField('Submit')

 

  這個表單中的字段都定義爲類變量,類變量的值是響應字段類型的對象。在這個實例中,NameForm表單中有一個名爲name的文本字段和一個名爲submit的提交按扭。StringField類表示屬性爲type="text"的<input>元素。SubmitField類表示屬性爲type="submit"的<input>元素。字段構造函數的第一個參數是把表單渲染成HTML時使用的標號。

  StringField構造函數中可選參數validators指定一個由驗證函數組成的列表,在接受用戶提交的數據之前驗證數據。驗證函數Required()確保提交的字段不爲空。

  Form基類由Flask-WTF擴展定義,所以從flask.ext.wtf中導入。字段和驗證函數卻可以直接從WTForms包中導入。

  WTForms支持的HTML標準字段如下:
  —————————————————————————————

    StringField       文本字段

    TextAreaField       多行文本字段

    PasswordField      密碼文本字段

    HiddenField     隱藏文本字段

    DateField      文本字段,值爲datatime.date格式

    DateTimeField    文本字段,值爲datatime.datetime格式

    IntegerField     文本字段,值爲整數

    DecimalField    文本字段,值爲decimal.Decimal

    FloatField      文本字段,值爲浮點數

    BooleanField    復選框,值爲True和False  

    RadioField       一組單選框

    SelectField      下拉列表

    SelectMultipleField 下拉列表,可選擇多個值

    FileField      文件上傳字段

    SubmitField        表單提交按扭

    FormField        把表單作爲字段嵌入另一個表單

    FieldList      一組指定類型的字段

  —————————————————————————————

  WTForms內建的驗證函數如下:

  —————————————————————————————

    Email       驗證電子郵件地址

    EqualTo      比較兩個字段的值,常用與要求輸入兩次密碼進行確認的情況

    IPAddress     驗證IPv4網絡地址

    Length        驗證輸入字符串的長度  

    NumberRange   驗證輸入的值在數字範圍內

    Optional        無輸入值時跳過其他驗證函數

    Required       確保字段中有數據

    Regexp      確保正則表達式驗證輸入值

    URL          驗證URL

    AnyOf       確保輸入字在可選值列表

    NoneOf       確保輸入值不在可選值列表

  —————————————————————————————

  把表單渲染成HTML

  表單字段是可調用的,在模板中調用後會渲染成HTML。假設視圖函數把一個NameForm實例通過參數form傳入模板,在模板中可以生成一個簡單的表單,如下:

1 <form method="POST">
2     {{form.hidden_tag()}}
3     {{form.name.label}} {{form.name()}}   
4     {{form.submit()}}
5 </form>

 

  當然這個表單還很簡陋。要想改進表單的外觀,可以把參數傳入渲染字段的函數,傳入的參數會被轉換成字段HTML屬性。例如,可以把字段指定id或class屬性,然後定義CSS樣式:

1  <form method="POST">
2      {{form.hidden_tag()}}
3      {{form.name.label}} {{form.name(id='my-text-field')}}   
4      {{form.submit()}}
5  </form>