無効なフィールドは、WTFormsおよびFlask

Question

たとえば、ページのいくつかのフィールドが無効になっています:( jinja2テンプレートシステムを使用）

<html> <body> <form action="" method=POST> {{ form.name(disabled=True) }} {{ form.title }} -- submit button -- </form> </body> </html>

期待どおり、フィールドはフォームで無効になっています。

私のviews.py：フォーム送信でvalidate_on_submit（）を実行すると、無効になっている「name」フィールドの検証エラーで失敗します。検証で無効なフィールドが無視されることを期待していました。それは正しい行動ですか？もしそうなら、そのような場合の対処方法を教えていただけますか？

更新しました：

class TeamForm(wtf.Form): name = wtf.TextField("Team Name", validators=[validators.Required()]) title = wtf.TextField("Title", validators=[validators.Required()])

Crast · Accepted Answer

これは実際には興味深い問題であり、WTFormsがそれを解決する方法は、セキュリティに関係し、ユーザーが偽の入力を許可しないため、意図的に明示性が必要なものです。

つまり、「管理者」は名前を編集できますが、「管理者」は編集できます。

一見、これは明白に思えます。HTMLでフィールドを無効にして、次のようにビューを記述してください。

def edit_team(): form = TeamForm(request.POST, obj=team) if request.POST and form.validate(): form.populate_obj(team) # <-- This is the dangerous part here return redirect('/teams') return render('edit_team.html')

書かれているように、これは主要なセキュリティリスクです。なぜならHTMLフォームの無効なプロパティはクライアント側のみだからです。 HTMLインスペクター（つまり、FireBug、Webkitドキュメントインスペクターなど）を持っている人は誰でもこのプロパティを削除できます。または、誰かが次のように要求することもできます。

POST /edit_team/7 HTTP/1.0 Content-Type: application/x-urlencoded team=EVILTEAMNAME&title=foo

問題は、もちろん、これを行う適切な方法に対応して、サーバー側でこれを適切にゲートする方法です。 WTFormsの正しいアプローチは、そもそもフィールドを持たないことです。これを行うにはいくつかの方法があります。1つはフォーム構成を使用して、たとえばManagerTeamFormとAdminTeamForm（これが良い場合もあります）が、それ以外の場合は delを使用して特定のフィールドを削除する。

したがって、検証の問題がなく、ビューを作成する方法は次のとおりです。

def edit_team(): form = TeamForm(request.POST, obj=team) if user.role == 'manager': del form.name if request.POST and form.validate(): form.populate_obj(team) return redirect('/teams') return render('edit_team.html')

そして、テンプレートへの簡単な変更：

<html> <body> <form action="" method=POST> {% if 'name' in form %} {{ form.name() }} {% else %} {{ team.name|e }} {% endif %} {{ form.title }} -- submit button -- </form> </body> </html>

Wtformsのベストプラクティスに関するいくつかのリファレンス：

WTForms '特定の問題の解決'
フォームをバッキングストアとして使用することの危険性（WTForms google group）投稿1 / 投稿2
StackOverflow：WTForms '読み取り専用'属性

codegeek · Answer

フォームを定義するときは、名前フィールドをオプションにする必要があります。

name = wtf.TextField("Team Name", validators=[validators.Optional()])

次に、ビューで「role」という変数を渡し、ユーザーに応じてmanagerまたはadminのいずれかに設定します。

<form action="" method=POST> {% if role == 'manager' % } {{ form.name(disabled=True) }} {% else % } {{ form.name() }} {{ form.title }} -- submit button -- </form>

Y4sper · Answer

この問題に対して独自のバリデーターを定義しました。

from wtforms.validators import Optional class OptionalIfDisabled(Optional): def __call__(self, form, field): if field.render_kw is not None and field.render_kw.get('disabled', False): field.flags.disabled = True super(OptionalIfDisabled, self).__call__(form, field)

次に、フォームの新しいベースを定義しました。

from wtforms.form import Form class BaseForm(Form): def populate_obj(self, obj): for name, field in self._fields.items(): if not field.flags.disabled: field.populate_obj(obj, name)

これで、すべてのフォームでBaseFormを拡張し、次のようにフィールドを無効にできます。

from wtforms.fields import StringField, SubmitField class TeamForm(BaseForm): team = StringField(label='Team Name', validators=[OptionalIfDisabled(), InputRequired()] submit = SubmitField(label='Submit') def __init__(self, *args, **kwargs): super(TeamForm, self).__init__(*args, **kwargs) # disable the fields if you want to if some_condition: self.team.render_kw = {'disabled': True}

TeamFormの検証後、populate_objを使用して、有効なフォームデータを任意のオブジェクトにコピーできます。無効なフィールドは無視されます。

Nicholas Chen · Answer

カスタムバリデーターを作成する

from wtforms.validators import Optional class DisabledValidator(Optional): """ do nothing """ pass

Form.ruleに基づいてカスタムルールを作成しましょう

from flask_admin.form.rules import Field class EasyCustomFieldRule(Field): def __init__(self, field_name, render_field='lib.render_field', field_args={}): super(self.__class__, self).__init__(field_name, render_field) self.extra_field_args = field_args def __call__(self, form, form_opts=None, field_args={}): field = getattr(form, self.field_name) if self.extra_field_args.get('disabled'): field.validators.append(DisabledValidator()) field_args.update(self.extra_field_args) return super(self.__class__, self).__call__(form, form_opts, field_args)

Wtforms.formのいくつかの関数の書き込みをオーバーライドします

from wtforms.form import Form from wtforms.compat import iteritems class BaseForm(Form): """ 重写部分方法，以适应disabled的Field """ def validate(self): """ Validates the form by calling `validate` on each field, passing any extra `Form.validate_<fieldname>` validators to the field validator. """ extra = {} for name in self._fields: inline = getattr(self.__class__, 'validate_%s' % name, None) if inline is not None: extra[name] = [inline] return self.validate_(extra) def validate_(self, extra_validators=None): self._errors = None success = True for name, field in iteritems(self._fields): is_disabled = False for v in field.validators: if isinstance(v, DisabledValidator): field.flags.disabled = True is_disabled = True break if is_disabled: continue if extra_validators is not None and name in extra_validators: extra = extra_validators[name] else: extra = Tuple() if not field.validate(self, extra): success = False return success def populate_obj(self, obj): for name, field in self._fields.items(): if not field.flags.disabled: field.populate_obj(obj, name)

modelViewでform_base_classを設定し、form_edit_rulesまたはform_create_rulesをEasyCustomFieldRuleで設定します

from flask_admin.contrib.sqla import ModelView class MyTestModelView(ModelView): ... form_base_class = BaseForm ... form_edit_rules = ( EasyCustomFieldRule('column0', field_args={'disabled': True}), 'column1', 'column2' )

ただテストしています...