Python框架学习之Flask中的Jinja2模板

　　前面也提到过在Flask中最核心的两个组件是Werkzeug和Jinja2模板。其中Werkzeug在前一节已经详细说明了。现在这一节主要是来谈谈Jinja2模板。

一、为什么需要引入模板：

　　在进行软件开发的时候，我们都希望开发的软件能够有很低的耦合度。而在视图中主要是处理业务逻辑和返回响应的，在web开发中，响应主要是渲染HTML文本，如果把渲染的这一个过程在视图中做的话，会导致耦合度特别高，难以维护。这样就引入了模板，目的是为了把视图中的业务处理和响应分开，这样维护的成本就会降低。

二、Jinja2模板引擎

　　1. 什么是模板？

　　　　模板其实是一个包含响应的文件，只不过其中使用了很多变量来作为占位符，这些变量的值是通过视图传入的。

　　Jinja2是一个模板引擎，使用Python实现的。起源于Django中的模板，然后又扩充了一些额外的功能。

　　在Flask中使用render_template来使用某个模板文件，模板中的变量通过字典的方式传入。

　　2. 语法规则：

　　　　{{ 变量 }}：直接在浏览器中输出变量值

　　　　{% if 条件%}.....{%elif 条件 %}.......{% endif %}：用来控制输入

　　　　{%for item in 序列 %} {% endfor %}：表示一个循环，其内部有一些特殊的变量：

　　　　　　loop.index：表示下标从1开始，

　　　　　　loop.index0：表示下标从0开始，

　　　　　　loop.length：表示序列中元素的个数

　　3.过滤器：

　　　　过滤器的本质就是一个函数，但是不能定义在模板中，而是定义在.py文件中。

　　　　作用：对输出的变量做一些处理，如格式化。

　　　　使用方式：{{ 变量 | 过滤器1  | 过滤器2 | 过滤器3 | ....}}

　　　　常用内置过滤器：　upper、lower、capitalize、safe等。

　　　　重点说一下safe过滤器。从字面意思看，也知道这个过滤器是起到安全的作用。因为Jinja2模板默认是开启转义的。也就是说一些特殊的字符在渲染的时候，会屏蔽其特殊功能，这样输出的字符串浏览器就会把它当做是一般的字符串，不会对它进行翻译，这样通过JS也无法修改其样式或其内容了。使用safe的话，一些特殊的字符就有特殊的作用，浏览器就会将其翻译过来！比如当视图往模板中传入"<h1>Index</h1>"，如果没有使用safe过滤器的话，展示在浏览器的效果就是"<h1>index</h1>"；但如果使用了safe过滤器的话，展示的结果就是变成一级标题！

　　　　

　　　　自定义过滤器：除了使用Flask内置的过滤器外，我们还可以自定义一些过滤器。

 # 自定义过滤器
 def my_filter(name):
     return name.upper()

 # 把过滤器添加到系统的过滤器中
 app.add_template_filter(my_filter, 'myfilter1')

 # 过滤器实现形式二，使用装饰器
 @app.template_filter('myfilter2')
 def my_filter2(str):
     return str.capitalize()

四、模板代码复用

　　1. 为什么需要模板代码复用？

　　　一个网页一般是有头部、中间体和尾部三个部分。同一个网站中可能有很多个页面，但是头部和尾部页面的重合度特别高，这部分的代码我们可以通过其他方式给获取过来，而不是再继续写。这样我们只需要实现中间部分的网页就可以了。这里电商网页为例。

　　

　　　

　　2. 代码复用的方式：

　　(1). 继承：{ % block xxx%} { % endblock xxx%}

　　　　在子模板中使用{% extends 'base.html' %} 把父模板中的数据继承过来，这条语句一般写在子模板中的第一行；

　　　　使用这种方式就相当于在父模板中，挖很多坑，然后在子模板中通过使用{% block content %}{% endblock content%}来重写中间体的内容，实现自定义功能；

　　　　除了把父模板中的某段数据给改写了之外，还可以使用{{ super() }}来调用父模板中某段数据。

　　(2). 宏： {% macro fun_name(arg1, arg2,....) %} 某个功能 {% endmacro %}

　　　　宏的本质上是一个函数，定义在模板当中。

　　　　使用函数的目的也是为了把反复编写的模板代码封装起来，如果其他地方需要用到的话，可以直接想调用函数的方式进行获取

　　　　如果有多处用到重复的模板代码，那么可以单独创建一个HTML文件，用来存放宏。然后在需要用到的地方包含这个文件。

　　　　　　{%  import 'macro.html' as functions %}

　　　　　　{{ functions.func() }}

　　(3). 包含：{% include 'hello.html' %}

　　　　包含相当于把被包含的文件(hello.html)重新复制了一份到当前文件，然后再返回给浏览器。

　　　　如果被包含的文件不存在，那么会发生TemplateNotFound错误。通过添加 ignore missing关键字来忽略这个错误。

　　　　

　　(4). 小结：

　　　　继承、宏、包含都可以实现代码复用的功能，其中继承相对来说用的比较广泛一些！

　　　　继承的本质是对父模板中的某段代码进行重写，一般用来实现多个页面中重复不变的区域，如顶部和底部。

　　　　宏就相当于函数，可以传入参数，定义，然后再进行调用

　　　　包含是直接将目标模板文件整个渲染出来，相当于复制了一份。

三、CSRF

　　1. 什么是CSRF?

　　　CSRF的全称是：跨站请求伪造(Cross Site Request Forgery)。是指攻击者获取了用户的一些私人信息，然后去攻击信任用户的网站！

　　2. 攻击原理图：

　　　

　　3. 如何采取安全措施呢？

　　　比较csrf_token，即当用户请求时服务器端设置一个csrf_token给客户端，保存在浏览器中；同时当用户执行form表单提交操作时，需要把csrf_token一起和其他参数给提交上来，但是这个参数不是用户自己输入的，而是服务器端把它隐藏在表单中。在服务器端把来自请求中cookie里的csrf_token和post请求中携带的csrf_token参数进行对比，如果不相等，那么就不能继续往下执行。如果成功的话，说明有可能是安全访问！为什么是有可能呢？因为可能你设置csrf_token的原理被别人截取到了，那么也就无效了！所以这个设置只能针对一般的，对技术不是太好的人有效。

　　　这也就是为什么Flask-WTF扩展包中，如果需要使用里面的form表单，必须要设置一个csrf_token， 然后在配置文件中设置SECRET_KEY。