使用通用視圖的方法是在URLconf文件中創建配置字典��,然后把這些字典作為URLconf元組的第三個成員�����。
例如,下面是一個呈現靜態“關于”頁面的URLconf:
from django.conf.urls.defaults import *from django.views.generic.simple import direct_to_templateurlpatterns = patterns('', (r'^about/$', direct_to_template, { 'template': 'about.html' }))一眼看上去似乎有點不可思議,不需要編寫代碼的視圖����! 它和第八章中的例子完全一樣:direct_to_template視圖僅僅是直接從傳遞過來的額外參數獲取信息并用于渲染視圖�。
因為通用視圖都是標準的視圖函數,我們可以在我們自己的視圖中重用它。 例如�,我們擴展 about例子���,把映射的URL從 /about//修改到一個靜態渲染 about/.html �。 我們首先修改URL配置以指向新的視圖函數:
from django.conf.urls.defaults import *from django.views.generic.simple import direct_to_template**from mysite.books.views import about_pages**urlpatterns = patterns('', (r'^about/$', direct_to_template, { 'template': 'about.html' }), **(r'^about/(/w+)/$', about_pages),**)接下來��,我們編寫 about_pages 視圖的代碼:
from django.http import Http404from django.template import TemplateDoesNotExistfrom django.views.generic.simple import direct_to_templatedef about_pages(request, page): try: return direct_to_template(request, template="about/%s.html" % page) except TemplateDoesNotExist: raise Http404()
在這里我們象使用其他函數一樣使用 direct_to_template �。 因為它返回一個HttpResponse對象�,我們只需要簡單的返回它就好了。 這里唯一有點棘手的事情是要處理找不到模板的情況�����。 我們不希望一個不存在的模板導致一個服務端錯誤���,所以我們捕獲TemplateDoesNotExist異常并且返回404錯誤來作為替代�。
這里有沒有安全性問題?
眼尖的讀者可能已經注意到一個可能的安全漏洞: 我們直接使用從客戶端瀏覽器得到的數據構造模板名稱(template="about/%s.html" % page )��。乍看起來�,這像是一個經典的 目錄跨越(directory traversal) 攻擊(詳情請看第20章)。 事實真是這樣嗎����?
完全不是����。 是的����,一個惡意的 page 值可以導致目錄跨越�,但是盡管 page 是 從請求的URL中獲取的,但并不是所有的值都會被接受�����。 這就是URL配置的關鍵所在: 我們使用正則表達式 /w+ 來從URL里匹配 page ��,而 /w 只接受字符和數字��。 因此,任何惡意的字符 (例如在這里是點 . 和正斜線 / )將在URL解析時被拒絕����,根本不會傳遞給視圖函數���。
