request.headers 里拿不到 X-Forwarded-For 是因代理未透传,需 Nginx 配置 proxy_set_header;request.remote_addr 在代理后不可用,须手动解析 X-Forwarded-For;request.args 仅取查询参数,语义明确,优于 request.values;上传文件需 enctype="multipart/form-data" 且用 -F 测试;request.get_data(cache=True) 才能多次读取原始 body。
request.headers 里拿不到 X-Forwarded-For?先看代理是否透传
Flask 的 request.headers 是只读的字典类对象,它反映的是 WSGI server(如 Werkzeug 内置服务器、Gunicorn)收到的原始 HTTP 头。如果前端有 Nginx、CDN 或负载均衡器,X-Forwarded-For 这类头默认不会自动注入到请求中——得靠代理显式配置转发。
- Nginx 必须加
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;,否则 Flask 根本收不到这个头 - Werkzeug 默认不解析
X-Forwarded-For成真实 IP,得自己取:request.headers.get("X-Forwarded-For", "").split(",")[0].strip() - 用
request.remote_addr在代理后永远是代理 IP(比如127.0.0.1),不能直接当用户 IP 用 - 若启用了
TRUSTED_PROXIES并调用request.environ.get("HTTP_X_FORWARDED_FOR"),要注意 Werkzeug 2.1+ 已移除自动信任逻辑,必须手动校验头来源可信
request.args 和 request.values 都能取查询参数,该选哪个?
request.args 只读取 URL 查询字符串(?a=1&b=2),而 request.values 是 args 和 form 的合并视图(只读,且 form 优先级更高)。多数时候你其实不需要 values。
- GET 请求只用
request.args.get("key"),语义清晰,避免意外混入 POST 数据 - POST 表单提交(
application/x-www-form-urlencoded)用request.form.get("key"),别误用args -
request.values在 multipart 表单里可能行为异常:它不包含文件字段,且对同名参数只返回第一个值(和get()一致),容易掩盖多值场景 - 需要强制类型转换时,
request.args.get("page", type=int, default=1)比手动int(request.args.get("page", "1"))更安全(自动处理空值/非数字)
上传文件时 request.files 为空?检查 enctype 和请求方式
Flask 的 request.files 是个类似字典的对象,但只有在请求是 multipart/form-data 编码、且 method 为 POST 或 PUT 时才有效。常见空值不是代码问题,而是客户端没发对。
- HTML 表单必须带
enctype="multipart/form-data",缺了就变成普通 form,文件进不了files - 用 curl 测试时,要用
-F "file=@/path/to/file",而不是-d或--data-binary -
request.files.get("myfile")返回的是FileStorage对象,不是文件内容;要读二进制数据得调.read()或.stream.read(),注意流只能读一次 - 大文件上传前建议先检查
request.files["myfile"].filename是否为空字符串(浏览器取消选择或未选文件时会这样)
request.get_data() 和 request.data 的区别与风险
request.data 是缓存后的原始请求体字节(bytes),首次访问会触发 get_data(cache=True);而 request.get_data() 每次都重新读流,不加参数会消耗掉输入流,后续再调就返回空。
立即学习“Python免费学习笔记(深入)”;
- 想多次读原始 body(比如做签名验证 + JSON 解析),必须用
request.get_data(cache=True),否则第二次request.get_json()就失败 -
request.get_data(parse_form_data=True)会强制解析 form/multipart,可能导致files和form提前被填充,干扰正常流程 - 用
request.json前确保 Content-Type 是application/json,否则返回None;不要靠get_data()+json.loads()替代,会绕过 Flask 的编码检测和错误处理 - 接收 webhook(如 GitHub、Stripe)时,常需原始 payload 做 HMAC 签名校验,这时应固定用
request.get_data(cache=True),并立即保存副本
真实项目里最常被忽略的是代理头信任链和 get_data() 的流消耗行为——这两个点一旦出错,调试成本远高于逻辑本身。
