/// BANGBOO BLOG ///

　formtarget

■jinja2

【Flask】Jinja2のテンプレート継承でHTMLファイルを役割ごとに分割する | たぬハック (tanuhack.com)

[Flask/Jinja2]extendsやincludeを使い、メンテしやすいテンプレート構築を目指す | pixelbeat sandbox

Jinjaテンプレートの書き方をがっつり調べてまとめてみた。 #Python - Qiita

///dict

my_dic['name'] = 1

return render_template('index.html', message=my_dic)

テンプレ側

///リスト

num_list = np.arange(10)

return render_template('index.html', message=num_list)

テンプレ側

{% for num in num_list %}

{% endfor %}

///改行

{%- xxx -%} jinjaタグの前後マイナスで改行空白を除外する
+はtrim_blocks(改行詰め)、Istrip_blocks(空白詰め)を無効化する設定で俺は使わない

from jinja2 import Environment

jinja_env = Environment()

jinja_env.trim_blocks = True

jinja_env.Istrip_blocks = True

///置換
{{ "aaagh" | replace("a","oh,","2") }}
-> oh,oh,agh
{{ input['txtarea'] | replace("\n","<br />") }}

///エスケープ
safeフィルタがなければhtmlエスケープがかかる

{{ output | safe }}
あるいは
{{% autoescape False %}}{{ output }}{{% endautoescape %}}

///コメント(複数行ok)

{# note: commented-out we no longer use this

　{% for user in users %}

　…

///生

{% raw %}

<ul>

{% for item in seq %}

{% endfor %}

</ul>

{% endraw %}

///extend と block と include

●flask

page=page_a.model(user)

return render_template("layout.html",title=title,page=page)

●layout.html (テンプレ切替と共通ブロック、共通ブロックはテンプレに書いた方分かり易い?)

{% if page['destination']== 'confirm' %}

{% extends "template_confirm.html" %}

{% elif page['destination']== 'complete' %}

{% extends "template_complete.html" %}

{% else %}

{% extends "template_html" %}

{% endif %}

{% block body %}

{% include "header.html" %}

<p>content here.</p>

{% endblock %}

●template.html

<html>

<body>

<h1>{{ title }}</h1>

{% block body %}

{% endblock %}

#0以上の入力データの確認 (空の確認やintへのキャスト)

#{% if 'inquiry_id' in page['input'] and page['input']['inquiry_id'] is not none and page['input']['inquiry_id'][int > 0 %}

{% if page[input']['inquiry_subject'] %}

{% else %)}

{% endif %}

{% include "footer.html" %}

</body>

</html>

●header.html

●footer.html

<p>author.p</p>

●page_a.py

def model(user):

value_return = ""

input = {}

error = {}

value_return <br>under constructions taken place by user '<br>'

#入力があった、

if request.method == "POST":

transition = request form.get("transition")

#get, post, 取得するもので書き方が違う

#request.args.get("inquiry_id")

#request.form.get("inquiry_id"

#request.json.get("inquiry_id")

logging warming('#####' + user + 'transition: ' + str(transition)+'#####')

if transition == "new" or transition == "error" or transition == "confirm back":

flag_ng=0

#入力値の判定

error_txt_inquiry_subject = []

inquiry_subject = request.form.get("inquiry_subject")

ff not checkRequire(inquiry_subject):

error_txt_inquiry_subject.append("件名が空欄です”)

flag_ng=1

input[inquiry_subject] = inquiry_subject

if flag_ng == 1:

error['error_txt_inquiry_subject] = error_txt_inquiry_subject

#エラー画面を出す

destination = "error"

else:

#確認画面を出す

destination = "confirm"

#End of transition == "new" or transition == "error" or transition == "confirm back":

else:

#transition == "confirm_proceed"

#登録処理し完了画面を出す

destination = "complete"

else:

#初期画面を出す

destination = "new"

return ("value":value_return, "destination":destination, "input":input, "error":error)

■改行
プレースホルダー内での改行は&#13:に置き換える

JINJA2のフォーム入力後の確認HTMLの改行は?

置換ではhtmlエスケープが掛かり<br>がそのまま表示されてしまいダメ

htmlエスケープ（HTMLエスケープは<>&のみだった）

• 入力があればhtmlエスケープ+改行<br/>変換

• html表示はそのままhtmlエスケープ+改行<br/>変換状態で出力

• DBにそのままhtmlエスケープ+改行<br/>変換状態で出力入れる

• htmlフォーム内表示はhtmlエスケープを解除し表示

↓

入力値はそのままinput変数に保持

confirm画面でエスケープ (html.escape()+改行<br/>変換) しescape変数に保持

DB保存時にはescape変数にプラスしてダブル/シングル/バッククォート、セミコロン、バックスラッシュをエスケープし保存

DBから取り出す際はそれらをアンエスケープしescape変数に保持

Docへはinput変数で保存

画面表示時はアンエスケープ (改行<br />変換+html.unescape())

def escapeHtmlBr(text):

if text is None:

return text

elif isinstance(text, list):

list_escaped = [html.escape(item) for item in text]

list_escaped [item.replace("\n', '<br>') for item in list_escaped]

return list_escaped

else:

escaped_text = html escape(text)
return escaped_text.replace('\n', '<br>')

def unescapeHtmlBr(text):

if text is None:

return text

elif isinstance(text, list):

list_unescaped = [item.replace('<br>', '\n') for item in text]

list_unescaped = [html.unescape(item) for item in list_unescaped]

return list_unescaped

else:

text text.replace('<br>', '\n')

return html.unescape(text)

def escapeDB(text):

if text is None:

return text

elif isinstance(text, list):

list_escaped = [item.replace(';', '&semi;') for item in text]

list_escaped = [item replace('"', '"') for item in list_escaped]

list_escaped = [item.replace("'", ''') for item in list_escaped]

list_escaped = [item.replace('\\', '\') for item in list_escaped]

list_escaped = [item.replace('`', '`') for item in list_escaped]

return list_escaped

else:

escaped_text = text.replace(';', '&semi;')

escaped_text = escaped_text.replace('"', '"')

escaped_text = escaped_text.replace("'", ''')

escaped_text = escaped_text.replace('\\', '\')

escaped_text = escaped_text.replace('`', '`')

return escaped text

def unescapeDB(text)

if text is None

return text

elif isinstance(text, list):

list_unescaped = [item replace('`', '`') for item in text]

list_unescaped [item.replace('\','\\') for item in list_unescaped]
list_unescaped [item.replace(''', "'") for item in list_unescaped]

list_unescaped [item.replace('"', '"') for item in list_unescaped]

list_unescaped [item.replace('&semi;', ';') for item in list_unescaped]

return list_unescaped

else:

unescaped_text = text.replace('`','`')

unescaped_text = unescaped_text.replace('\', '\\')

unescaped_text = unescaped_text.replace(''', "'")

unescaped_text unescaped_text replace('"', '"')

unescaped_text = unescaped_text.replace('&semi;', ';')

return unescaped_text

■文字確認

def check_special_characters(a):|

#チェックする記号のセット

special_characters = ['<', '>', '"', '&']

#特定の記号が含まれているかをチェック

if any(char in a for char in special_characters):

raise ValueError(f"変数 'a' に禁止されている文字が含まれています: {a}")

try:

a = "Hello & World"

check_special_characters(a)

except ValueError as e:

print(e)

■DBのnull行の排除

bq = bigquery.Client()

sql = f"""SELECT a FROM `ds.b' WHERE c = '{pri}'"""

results=bq.query(sql)

list = list()

for row in results:

if row.a is not None:

list.append(str(row.a))

■Flask-WTF CCSRF対策でhiddenに入れる

https://qiita.com/RGS/items/c8c99970054a481ac80d

requrement.txt Flask-WTF==1.2.1

from flask_wtf import CSRFProtect

app = Flask(__name__)

app.config['SECRET_KEY'] = 'mysecretkey'

csrf = CSRFProtect(app)

PRGパターンでGETで完了画面に行くがエラーとならない、WTFはPOSTのみ利くようだ

●完了画面でセッション変数がない場合はエラーとする

保存処理でdoc_idをセッション変数に入れ

不正で直接完了画面にいくとエラーとする

https://xxxx.com/complete?doc id=ddd

■重複登録の回避策(PRG方式+JSボタン無効)

・リダイレクト POST/Redirect/GET パターン

・連打を避けるためボタンのJS無効化

片方のみのためquerySelectorAll() を使う>ページ遷移しなくなった>下記JSを使う

@app.route('/submit', methods=['POST'])

def page():

page = model

if complete:

session['doc_id'] = page['input']['doc_id']

redirect(url_for('thank_you'))

else:

retrun template('layout.html')

@app.route('/thank_you')

def thank_you():

if 'doc_id' in session:

page['input']['doc_id"] = session['doc_id"]

session clear()

return render_template('complete_layout.html', page=page)

else:

return render_template('error.html", message="missing arg")

@app.errorhandler(404)

def page_not_found(e)

return render_template('error html', message="Page not found"), 404

error.html側

<h1>{{message }}</h1>

submit側

連打を避けるためボタンの無効化

片方のみのためquerySelectorAll() を使うとページ遷移しなくなる等がある

document.addEventListener('DOMContentLoaded', function(){

const form = document.getElementById('form');

const buttons = form.getElementsByTagName('button');

form.onsubmit= function(event) {

//クリックされたボタンを取得

const clickedButton = event.submitter;

//隠しフィールドを追加して、ボタンのname と value を送信

const hiddenField = document.createElement('input');

hiddenField type = 'hidden'

hiddenField.name = clickedButton.name;

hiddenField.value = clickedButton value;

form.appendChild(hiddenField);

// すべてのボタンを無効化して二重送信を防止

for (let i = 0; i < buttons.length; i++) {

buttons[i].disabled = true;

}

</script>