Python Flask 开发：在 Flask 中返回字符串时，浏览器将其作为 HTML 解析

@app.route('/user/<string:username>')
def show_string(username):
    return f'type: string, value: {username}, python_type: {str(type(username))}'

• 在 Python Flask 开发中，访问上述接口 /user/john_doe 时，在浏览器中，会输出以下结果

  type: string, value: john_doe, python_type:

• 但是，在控制台中，会输出以下结果

  type: string, value: john_doe, python_type: <class 'str'>

问题原因

1. 当在 Flask 中返回字符串时，浏览器将其作为 HTML 解析

2. <class 'str'> 中的字符 < 与 > 在 HTML 中有特殊含义，即标签的界定符

处理策略

1. 使用 HTML 实体编码

@app.route('/user/<string:username>')
def show_string(username):
    type_str = str(type(username))
    type_str_escaped = type_str.replace('<', '&lt;').replace('>', '&gt;')
    return f'type: string, value: {username}, python_type: {type_str_escaped}'

2. 使用 escape 函数

from markupsafe import escape

@app.route('/user/<string:username>')
def show_string(username):
    type_str = str(type(username))
    return f'type: string, value: {username}, python_type: {escape(type_str)}'

3. 使用 Markup 类

from markupsafe import Markup

@app.route('/user/<string:username>')
def show_string(username):
    type_str = str(type(username))
    return f'type: string, value: {username}, python_type: {Markup.escape(type_str)}'

4. 设置 content-type 为纯文本

from flask import Flask, Response

@app.route('/user/<string:username>')
def show_string(username):
    content = f'type: string, value: {username}, python_type: {str(type(username))}'
    return Response(content, content_type='text/plain')

5. 避免使用 HTML 特殊字符

@app.route('/user/<string:username>')
def show_string(username):
    return f'type: string, value: {username}, python_type: {type(username).__name__}'