Python Flask路由怎么限制方法_methods列表配置仅允许GET或POST限制接口非法请求

Flask路由必须显式声明methods参数为全大写字符串列表，否则默认仅允许GET；写成字符串或漏方括号会导致405错误；add_url_rule中methods须为关键字参数；动态路由、蓝图及内容类型校验均需同步配置。Flask路由里methods参数写错顺序或类型会直接405Flask的@app.route装饰器必须显式声明methods，否则默认只允许GET。很多人以为不写就是“不限制”，其实一发POST就返回405 Method Not Allowed——不是后端没收到，是路由层直接拦了。常见错误：把methods写成字符串"GET, POST"，或者漏掉方括号；正确写法必须是列表，且元素是全大写字符串。methods=["GET"] —— 仅接受GET，连HEAD都不通（除非手动加）methods=["POST"] —— 仅接受POST，表单、fetch、curl -X POST都行methods=["GET", "POST"] —— 允许两种，但不会自动处理OPTIONS预检（CORS场景要额外注意）用app.add_url_rule注册路由时methods位置不能错和装饰器写法不同，app.add_url_rule的methods是关键字参数，必须显式写出，且不能放在view_func之后。顺序错、漏写、传None都会导致运行时报错或行为异常。比如下面这段代码会报TypeError：立即学习“Python免费学习笔记（深入）”；app.add_url_rule('/api/data', view_func=handle_data, ["GET"]) # ? 错误：列表被当成了位置参数正确写法：app.add_url_rule('/api/data', view_func=handle_data, methods=["GET"]) # ?如果函数需要带参数（如/user/<int:uid>），methods仍必须是关键字参数add_url_rule不支持像装饰器那样用@app.route(..., methods=[...])的语法糖，别混用动态路由中methods限制依然生效，和路径变量无关限制POST但没校验Content-Type等于白限只靠methods=["POST"]只能挡住非POST请求，但无法阻止恶意用户发一个Content-Type: text/plain的POST过来——你的request.form或request.get_json()可能直接抛BadRequest，甚至触发未处理异常。 VWO 一个A/B测试工具