Flask中request.files为空或KeyError的根本原因是前端未正确发送multipart/form-data请求或后端未满足接收条件;需确保表单含enctype="multipart/form-data"、curl用-F参数、使用get()而非[]取值、多文件用getlist()、save()前用secure_filename()防路径穿越并确保父目录存在。
Flask中request.files为空或报KeyError
根本原因通常是前端没发对,或者后端没配好接收条件。Flask默认不自动解析multipart/form-data,但只要用了request.files就会触发解析——前提是请求确实是这种类型,且表单有enctype="multipart/form-data"。
- 检查HTML表单是否漏了
enctype="multipart/form-data",只写<form>默认是application/x-www-form-urlencoded,文件字段直接被忽略 - 用
curl调试时,必须加-F "file=@/path/to/file",不能用-d或--data -
request.files.get("file")比request.files["file"]安全,后者在键不存在时抛KeyError - 如果上传多个同名文件(如
<input type="file" multiple>),request.files.getlist("file")才能拿到全部,单用get()只取第一个
FileStorage.save()保存失败的常见原因
save()本质是调用file.read()再写入磁盘,所以权限、路径、文件大小都会卡住它。它不会自动创建父目录,也不校验文件扩展名或内容类型。
- 目标路径的父目录必须已存在,否则抛
OSError: [Errno 2] No such file or directory;用os.makedirs(os.path.dirname(path), exist_ok=True)提前建好 - 别直接拼接
filename到路径里,用户可传../../etc/passwd导致路径穿越;用secure_filename()处理:from werkzeug.utils import secure_filename→secure_filename(f.filename) -
save()会把整个文件读进内存再写出,大文件(比如>100MB)容易OOM;需配合stream手动分块读写,或改用f.stream.read(8192)循环写入 - Windows下注意路径分隔符,
os.path.join()比字符串拼接更可靠
如何限制上传文件大小和类型
Flask本身不校验内容,靠配置和手动判断。关键点在于:限制要尽早做,避免大文件已上传一半才拒绝。
- 全局限制:在
app.config设MAX_CONTENT_LENGTH(单位字节),超限直接返回413错误,不进视图函数:app.config['MAX_CONTENT_LENGTH'] = 16 * 1024 * 1024(16MB) - 类型校验不能只看
f.filename后缀,得读文件头(magic bytes);简单场景可用f.mimetype,但它由客户端提供,不可信 - 白名单比黑名单靠谱,例如只允许
['image/jpeg', 'image/png'],遇到text/plain就拒掉 - 如果用了Nginx,它可能在到达Flask前就截断大请求,此时需同步调大
client_max_body_size
为什么save()后文件内容是空的或损坏
多数情况是FileStorage对象被多次读取或位置指针偏移了。它底层封装了一个类似BytesIO的流,read()一次后指针就到末尾,再read()就返回空。
- 调用过
f.read()或f.stream.read()之后,再调f.save()会写入空文件——因为流已到EOF - 解决方法:要么只用
save(),要么自己读完后用f.stream.seek(0)重置指针 - 调试时打印
f.content_length和f.filename,确认文件确实被接收进来;若content_length为0,说明前端根本没发数据 - 某些代理或HTTPS中间件可能修改请求体,导致流损坏,本地curl直连Flask能快速定位是不是部署环境的问题
事情说清了就结束。真正麻烦的从来不是save()那一行代码,而是路径构造、流状态管理、边界校验这些藏在背后的细节。
