给有经验程序员的前言¶
本章节是给有其它框架工作经验的程序员,以及有具体或深刻涉及那些的典型用户,
Flask 中的线程局部变量¶
Flask 的设计抉择之一就是,简单的任务应该保持简单;它们的实现不应是大量代码的 堆叠,并不应该限制到你。为此,我们选择了一些可能让某些人觉得惊讶或异端的设 计。例如,Flask 内部使用线程局部的对象,这样你不必在请求内的函数间传递对象来 保证线程安全。这个方法很方便,但为依赖注入,或尝试重用使用了与请求挂钩的值的 代码,需要一个有效的请求上下文。
Web 开发是危险的¶
请在构建 Web 应用时牢记安全。
如果你编写了一个 Web 应用,你很可能允许用户在你的服务器上注册并留下数据。即 使你是这唯一的用户,也会在应用中留下数据。用户们把数据托付给你,你当然更希望 这些数据被妥善安全地保存。
不幸的是,有许多方式可以让 web 应用的安全措施形同虚设。 Flask 保护你免受现代 Web 应用最常见的一个安全问题的困扰:跨站脚本攻击(XSS)。除非你蓄意把不安全 的 HTML 标记为安全,Flask 和底层的 Jinja2 模板引擎已经为你严防死守。但许多安 全问题依然存在。
本文档会在 web 开发中那些需要注意安全的方面警示你。这些安全考虑中的某些远比 人们想象的复杂,我们有时候低估漏洞被利用的可能性——直到一个聪明的攻击者找出利 用我们程序的方法。并且,不要想着你的应用没有重要到可以吸引攻击者。取决于攻 击的类型,有时候是自动化的僵尸机器搜寻在你数据库中填充垃圾、恶意程序链接或 之类东西的方法。
开发者必须在为需求编写代码时留心安全隐患,在这点上,Flask 与其它框架没有区 别。
Python 3 的状态¶
Python 社区目前处于改善库对 Python 编程语言中迭代支持的进程中。而当前大力改 进中的处境仍有一些问题,使得我们难以迁移到 Python 3 。导致这些问题的原因一部 分是语言中的变更长时间没有复查,一部分也是因为我们没有找出低层 API 应该如何 做出修改来适应 Python 3 中 Unicode 的差异。
一旦应对变更的解决方案出现,Werkzeug 和 Flask 就会立刻迁移到 Python 3 , 并且我们会提供升级现有应用到 Python 3 的提示。在那之前,我们强烈建议 在开发时使用 Python 2.6 和 2.7 ,并激活 Python 3 警告。如果你计划在近期升级 到 Python 3 ,我们强烈推荐你阅读 如何编写向后兼容的 Python 代码 。
