Загрузка файлов¶

Мягкое введение¶

Давайте начнем с очень простого приложения, которое загружает файл в определенную папку upload и отображает файл пользователю. Давайте рассмотрим код загрузки для нашего приложения:

import os
from flask import Flask, flash, request, redirect, url_for
from werkzeug.utils import secure_filename

UPLOAD_FOLDER = '/path/to/the/uploads'
ALLOWED_EXTENSIONS = {'txt', 'pdf', 'png', 'jpg', 'jpeg', 'gif'}

app = Flask(__name__)
app.config['UPLOAD_FOLDER'] = UPLOAD_FOLDER

Итак, сначала нам понадобится пара импортов. Большинство из них должны быть простыми, werkzeug.secure_filename() будет объяснено немного позже. UPLOAD_FOLDER - это место, где мы будем хранить загруженные файлы, а ALLOWED_EXTENSIONS - это набор разрешенных расширений файлов.

Почему мы ограничиваем разрешенные расширения? Вероятно, вы не хотите, чтобы ваши пользователи могли загружать туда все подряд, если сервер напрямую отправляет данные клиенту. Таким образом, вы можете убедиться, что пользователи не смогут загружать HTML-файлы, которые могут вызвать XSS-проблемы (см. Межсайтовый скриптинг (XSS)). Также не забудьте запретить файлы .php, если сервер их выполняет, но у кого на сервере установлен PHP, верно? :)

Далее функции, которые проверяют, является ли расширение действительным, загружают файл и перенаправляют пользователя на URL загруженного файла:

def allowed_file(filename):
    return '.' in filename and \
           filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

@app.route('/', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        # check if the post request has the file part
        if 'file' not in request.files:
            flash('No file part')
            return redirect(request.url)
        file = request.files['file']
        # If the user does not select a file, the browser submits an
        # empty file without a filename.
        if file.filename == '':
            flash('No selected file')
            return redirect(request.url)
        if file and allowed_file(file.filename):
            filename = secure_filename(file.filename)
            file.save(os.path.join(app.config['UPLOAD_FOLDER'], filename))
            return redirect(url_for('download_file', name=filename))
    return '''
    <!doctype html>
    <title>Upload new File</title>
    <h1>Upload new File</h1>
    <form method=post enctype=multipart/form-data>
      <input type=file name=file>
      <input type=submit value=Upload>
    </form>
    '''

Так что же на самом деле делает эта функция secure_filename()? Проблема в том, что существует принцип «никогда не доверяйте вводу пользователя». Это справедливо и для имени загружаемого файла. Все данные формы могут быть подделаны, а имена файлов могут быть опасны. На данный момент просто запомните: всегда используйте эту функцию для защиты имени файла, прежде чем хранить его непосредственно в файловой системе.

filename = "../../../../home/username/.bashrc"

>>> secure_filename('../../../../home/username/.bashrc')
'home_username_.bashrc'

Мы хотим иметь возможность обслуживать загруженные файлы, чтобы они могли быть загружены пользователями. Мы определим представление download_file для обслуживания файлов в папке upload по имени. url_for("download_file", name=name) генерирует URL-адреса загрузки.

from flask import send_from_directory

@app.route('/uploads/<name>')
def download_file(name):
    return send_from_directory(app.config["UPLOAD_FOLDER"], name)

Если вы используете промежуточное ПО или HTTP-сервер для обслуживания файлов, вы можете зарегистрировать конечную точку download_file как build_only, чтобы url_for работала без функции представления.

app.add_url_rule(
    "/uploads/<name>", endpoint="download_file", build_only=True
)

Улучшение загрузки¶

Как именно Flask обрабатывает загруженные файлы? Если файлы достаточно малы, он будет хранить их в памяти веб-сервера, в противном случае - во временном месте (как возвращает tempfile.gettempdir()). Но как указать максимальный размер файла, после которого загрузка будет прервана? По умолчанию Flask будет с радостью принимать закачки файлов с неограниченным объемом памяти, но вы можете ограничить это, установив ключ конфигурации MAX_CONTENT_LENGTH:

from flask import Flask, Request

app = Flask(__name__)
app.config['MAX_CONTENT_LENGTH'] = 16 * 1000 * 1000

Приведенный выше код ограничит максимально допустимую полезную нагрузку до 16 мегабайт. Если будет передан файл большего размера, Flask вызовет исключение RequestEntityTooLarge.

Эта возможность была добавлена во Flask 0.6, но может быть реализована и в более ранних версиях путем создания подкласса объекта запроса. Для получения дополнительной информации об этом обратитесь к документации Werkzeug по работе с файлами.

Бары прогресса загрузки¶

Некоторое время назад у многих разработчиков возникла идея читать входящий файл небольшими кусками и хранить прогресс загрузки в базе данных, чтобы иметь возможность опрашивать прогресс с помощью JavaScript с клиента. Клиент спрашивает сервер каждые 5 секунд, сколько он передал, но это то, что он уже должен знать.

Более простое решение¶

Сейчас есть лучшие решения, которые работают быстрее и надежнее. Существуют библиотеки JavaScript, например jQuery, в которых есть плагины для форм, облегчающие построение прогресс-бара.

Поскольку общий шаблон для загрузки файлов существует почти без изменений во всех приложениях, работающих с загрузкой, существуют также некоторые расширения Flask, которые реализуют полноценный механизм загрузки, позволяющий контролировать, какие расширения файлов разрешены для загрузки.