Flask Cookie 使用方法详解

Flask 是一个 Python Web 框架，Cookie 是一个小型文本文件，由服务器发送给 Web 浏览器并保存在本地计算机上，用于跟踪用户。本文将详细介绍 Flask 中的 Cookie 处理，并提供代码示例。

Flask 的 Cookie 模块

Flask 的 Cookie 模块是 Flask 对 Python 标准库中 Cookie 模块的封装。Flask 中的 Cookie 模块提供了如下 API：

flask.Response.set_cookie(key, value='', max_age=None, expires=None, path='/', domain=None, secure=None, httponly=False, samesite=None)

其中：

key：Cookie 名称，字符串类型。
value：Cookie 值，字符串类型，默认为空字符串。
max_age：Cookie 最大保存时间，以秒为单位。如果未设置，则该 Cookie 将成为会话 Cookie（即在浏览器关闭后失效）。
expires：Cookie 过期日期，如果设置了该参数，则 max_age 参数将忽略。
path：Cookie 适用的路径，默认为根路径。
domain：Cookie 适用的域名，默认为当前域名。
secure：Cookie 是否只在 HTTPS 连接下发送，可以为 True 或 False，默认为 False。
httponly：Cookie 是否只能通过 HTTP 协议获取，可以为 True 或 False，默认为 False。
samesite：Cookie 是否可以从第三方站点访问，可以为 None、'lax'、'strict' 或 'none'。如果为 'lax'，则允许从外部站点发起 GET 的安全请求。如果为 'strict'，则禁止从外部站点发起所有请求。如果为 None 或 'none'，则不会设置 SameSite 属性。

Flask 的 Cookie 示例

from datetime import datetime, timedelta
from flask import Flask, render_template, request, jsonify, make_response

app = Flask(__name__)

@app.route('/')
def index():
    response = make_response(render_template('index.html'))
    response.set_cookie('username', 'admin', max_age=3600)
    return response

@app.route('/get_cookie')
def get_cookie():
    username = request.cookies.get('username')
    return jsonify({'username': username})

if __name__ == '__main__':
    app.run(debug=True)

以上代码示例：

使用 make_response 将模板渲染结果转换为响应对象。
通过 set_cookie 方法设置 Cookie。
使用 request.cookies.get 方法获取 Cookie。
在 app.run 中设置 debug=True，以便在本地调试时输出调试信息。

Flask 的 Cookie 安全性

在 Flask 中，Cookie 的安全性取决于以下因素：

Cookie 是否过期：如果 Cookie 过期，则攻击者无法使用它进行攻击。
Cookie 是否受到保护：如果 Cookie 中包含一些敏感信息，应该将它们加密或使用其他方式进行保护。
Cookie 是否设置了 secure 标志：如果设为 True，则该 Cookie 只能通过 HTTPS 连接传输。
Cookie 是否设置了 httponly 标志：如果设为 True，则该 Cookie 只能通过 HTTP 协议获取，不能通过 JavaScript 等客户端脚本获取，可以有效防止 CSRF 攻击。