模板文件中的page_not_found.html:
404 错误,<a href="{
{ url_for('hello')}}">点击跳转到首页</a>
其中用到了hello函数
如果app.py中是这样写的:
@app.route("/<name>")
def hello(name=None):
# name = '<script>alert("bad")</script>'
if name:
return f"Hello, {escape(name)}" # 对其转义是为了防止直接运行注入代码了
# return f"Hello, {name}" # 直接这样写 并且用户输入的是<script>alert("bad")</script> 则会弹窗!
else: return "Hello, World!"那么就会报错说没有给name赋值!
则必须像以下这样写:以下只是另一个例子!
@app.route("/hello3")
@app.route("/hello3/<name>")
def hello3(name=None):
print("请求路径: \t",request.path)
print("请求方法: \t",request.method)
print(dir(request))
print("---------------")
for req in dir(request):
# print(req)
try:
print(req,end=': ')
exec('print(request.'+req+")")
except:
pass
return render_template("hello.html",name=name)如果name为None没有赋值,则会使用第一个hello3路由!!!
同时也是使用同一个函数的操作 只是说name是None的操作
感觉这就是纯纯杀软的操作,本来写一个路由就行 以后记到就行 参数为空时(不设置时且默认为空时)就必须写一个参数为空的情况的路由!!!
将app.py的代码改成如下就行:
只是加了第一行的内容:
@app.route("/")
@app.route("/<name>")
def hello(name=None):
# name = '<script>alert("bad")</script>'
if name:
return f"Hello, {escape(name)}" # 对其转义是为了防止直接运行注入代码了
# return f"Hello, {name}" # 直接这样写 并且用户输入的是<script>alert("bad")</script> 则会弹窗!
else: return "Hello, World!"