代码审查

app/account_service.py

@@ -103,13 +103,18 @@ def login():
 
 
 @accountService.route("/logout", methods=['GET', 'POST'])
+# def logout():
+#     '''
+#     登出
+#     :return: 重定位到主界面
+#     '''
+#     # 将session标记为登出状态
+#     session['logged_in'] = False
+#     return redirect(url_for('mainpage'))
+
+# 使用session.clear()替代部分字段删除.确保完全退出
 def logout():
-    '''
+    session.clear()  # 彻底清除会话
-    登出
-    :return: 重定位到主界面
-    '''
-    # 将session标记为登出状态
-    session['logged_in'] = False
     return redirect(url_for('mainpage'))
 
 

app/admin_service.py

@@ -105,6 +105,12 @@ def article():
 
     return render_template("admin_manage_article.html", **context)
 
+#引入 flask_wtf.csrf.CSRFProtect 防止跨站请求伪造。
+# @adminService.route("/admin/user", methods=["POST"])
+# def update_user():
+#     # 添加CSRF保护（需配合Flask-WTF或Flask-SeaSurf）
+#     if not validate_csrf(request.form.get("csrf_token")):
+#         return "Invalid CSRF token", 403
 
 @adminService.route("/admin/user", methods=["GET", "POST"])
 def user():