Flask 中通过 URL 路径参数安全传递文件名实现跨路由删除操作

碧海醫心

发布时间：2026-02-19 14:52:08

145人浏览过

来源于php中文网

原创

Flask 中通过 URL 路径参数安全传递文件名实现跨路由删除操作

本文讲解如何在 Flask 应用中，将前端页面中动态生成的文件名（而非固定按钮值）准确、安全地传递至删除路由，避免硬编码表单字段和潜在的键名冲突问题。核心方案是使用 Flask 的变量路由（）配合 url_for() 构建带参提交链接。

本文讲解如何在 flask 应用中，将前端页面中动态生成的文件名（而非固定按钮值）准确、安全地传递至删除路由，避免硬编码表单字段和潜在的键名冲突问题。核心方案是使用 flask 的变量路由（``）配合 `url_for()` 构建带参提交链接。

在 Flask 开发中，常见需求是为列表项（如视频文件）提供独立操作按钮（例如“删除”），而每个按钮需关联其对应的具体资源（如文件名）。原始代码试图通过提交循环索引，但 request.form['idx'] 实际获取的是按钮的 value（即字符串 "Delete"），而非预期的索引或文件名——根本原因在于 name="idx" 是静态字符串，未绑定循环变量。

更可靠、更符合 Web 最佳实践的方案是：将文件名作为 URL 路径参数直接嵌入删除表单的 action 地址中。这无需依赖表单数据解析，规避了 name 冲突、空值风险与 XSS 潜在隐患，同时语义清晰、调试直观。

以下是重构后的完整实现：

Ink For All

AI写作和营销助手，精心设计的 UI

下载

from flask import Flask, redirect, render_template_string, url_for
import os

app = Flask(__name__)

@app.route('/archive')
def archive():
    path = '/home/pi/Videos/'
    try:
        dir_list = sorted(os.listdir(path))  # 安全读取并排序
    except OSError as e:
        return f"Error accessing directory: {e}", 500

    # 使用 Jinja2 模板字符串渲染动态页面
    html_template = '''
    <!DOCTYPE html>
    <html lang="en">
    <head><meta charset="UTF-8"><title>Video Archive</title></head>
    <body>
        <div class="box">
            <div class="flex-box">
                {% for file in dir_list %}
                <div style="background: #1a1a1a; color: #fff; padding: 12px; margin: 4px 0; border-radius: 4px;">
                    <strong>{{ file }}</strong>
                    <form method="post" action="{{ url_for('delete', filename=file) }}" style="display:inline;margin-left:12px;">
                        <button type="submit" class="btn" style="background:#e74c3c;color:white;border:none;padding:6px 12px;border-radius:4px;cursor:pointer;">
                            Delete
                        </button>
                    </form>
                </div>
                {% else %}
                <p>No videos found.</p>
                {% endfor %}
            </div>
        </div>
    </body>
    </html>
    '''
    return render_template_string(html_template, dir_list=dir_list)

@app.post('/delete/<path:filename>')
def delete(filename):
    base_path = '/home/pi/Videos/'
    full_path = os.path.join(base_path, filename)

    # 关键安全校验：防止路径遍历攻击（如 filename="../../etc/passwd"）
    if not os.path.abspath(full_path).startswith(os.path.abspath(base_path)):
        return "Invalid file path", 400

    try:
        if os.path.isfile(full_path):
            os.remove(full_path)
        else:
            return f"File not found: {filename}", 404
    except PermissionError:
        return f"Permission denied: {filename}", 403
    except Exception as e:
        return f"Error deleting {filename}: {e}", 500

    return redirect(url_for('archive'))

✅ 关键改进说明：

路径参数替代表单字段：/delete/ 直接捕获文件名，url_for('delete', filename=file) 自动生成合法 URL，无需解析 request.form。
<...><...>

Flask 中通过 URL 路径参数安全传递文件名实现删除功能的完整教程

Python Redis ZSET 实现的延时队列

Python 中无需计数器或 enumerate 的单行循环截断技巧

ARIMA模型能否像LSTM一样接受自定义输入序列进行预测？

Python 使用 C 扩展提升性能的思路

路由优化大师

路由优化大师是一款及简单的路由器设置管理软件，其主要功能是一键设置优化路由、屏广告、防蹭网、路由器全面检测及高级设置等，有需要的小伙伴快来保存下载体验吧！

下载

相关标签:

路由 flask xss csrf String Token 字符串循环 delete input http 重构

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：Python asyncpg vs psycopg[async] 的性能实测下一篇：暂无

作者最新文章

HTML 表格中正确设置行列标题的完整指南

2026-02-17 09:24

有内鬼！《绝地潜兵2》玩家为保卫生化人而击杀队友

2026-02-17 09:29

Ursina 中的“灯光效果”真相：如何用投影着色器模拟光照

2026-02-17 09:37

如何为不同 Maven 插件指定独立的 Java 版本运行环境

2026-02-17 09:47

如何通过导航标签页跳转并自动选择表单选项

2026-02-17 09:51

《生化危机9：安魂曲》新截图恐怖怪物逼近男女主角

2026-02-17 09:54

Java 中让 JMenu 的弹出菜单向上展开的完整实现方案

2026-02-17 10:02

Java 中如何在构造器内正确初始化内部类对象并存入外部类数组

2026-02-17 10:05

如何在父元素上安全拦截粘贴事件，仅当目标元素无原生粘贴行为时触发自定义逻辑

2026-02-17 10:13

Go 中使用 math/rand 生成随机数时为何总是返回相同结果？

2026-02-17 10:17

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

AI 图片处理图片拼接

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

Python Flask框架

本专题专注于 Python 轻量级 Web 框架 Flask 的学习与实战，内容涵盖路由与视图、模板渲染、表单处理、数据库集成、用户认证以及RESTful API 开发。通过博客系统、任务管理工具与微服务接口等项目实战，帮助学员掌握 Flask 在快速构建小型到中型 Web 应用中的核心技能。

2025.08.25

Python Flask Web框架与API开发

本专题系统介绍 Python Flask Web框架的基础与进阶应用，包括Flask路由、请求与响应、模板渲染、表单处理、安全性加固、数据库集成（SQLAlchemy）、以及使用Flask构建 RESTful API 服务。通过多个实战项目，帮助学习者掌握使用 Flask 开发高效、可扩展的 Web 应用与 API。

2025.12.15

string转int

在编程中，我们经常会遇到需要将字符串(str)转换为整数(int)的情况。这可能是因为我们需要对字符串进行数值计算，或者需要将用户输入的字符串转换为整数进行处理。php中文网给大家带来了相关的教程以及文章，欢迎大家前来学习阅读。

770

2023.08.02

登录token无效

登录token无效解决方法：1、检查token的有效期限，如果token已经过期，需要重新获取一个新的token；2、检查token的签名，如果签名不正确，需要重新获取一个新的token；3、检查密钥的正确性，如果密钥不正确，需要重新获取一个新的token；4、使用HTTPS协议传输token，建议使用HTTPS协议进行传输；5、使用双因素认证，双因素认证可以提高账户的安全性。

6400

2023.09.14

登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容，供大家免费下载体验。

836

2023.09.14