当然有可行的方案，完全不需要专门为验证功能新建一个req.flash类型！下面给你两种实用的思路，完美适配你复用公共partial的场景：

方法1：直接传入HTML字符串（简单但需注意安全） #

你可以在路由的req.flash中直接拼接包含链接的HTML代码，然后在公共partial里使用不转义输出的模板语法来渲染它。

比如在你的验证相关路由里：

router.get("/verification", function(req, res) {
  // 示例：发送带重新验证链接的提示
  req.flash("success", "你的验证已过期，请点击 <a href='/verification'>重新验证</a>");
  // 其他业务逻辑...
});

然后在你的公共partial（比如alert.ejs）里，用模板引擎的不转义语法输出：

<% if (success.length > 0) { %>
  <div class="alert alert-success">
    <%- success %> <!-- 用<%- %>而非<%= %>，避免HTML代码被转义 -->
  </div>
<% } %>

⚠️ 注意：这种方法要确保链接内容是完全可控的，绝对不要包含用户输入的内容，否则会存在XSS攻击风险。

方法2：传递结构化数据（更安全、更灵活） #

如果想规避直接拼接HTML的安全隐患，你可以给req.flash传递一个包含消息文本和链接信息的对象，然后在partial里统一处理渲染逻辑。

比如在路由里：

router.get("/verification", function(req, res) {
  req.flash("success", {
    message: "你的验证已过期，请点击",
    linkText: "重新验证",
    linkUrl: "/verification"
  });
  // 其他业务逻辑...
});

然后在公共partial里，遍历flash消息并结构化渲染：

<% if (success.length > 0) { %>
  <% success.forEach(alert => { %>
    <div class="alert alert-success">
      <%= alert.message %> 
      <% if (alert.linkText && alert.linkUrl) { %>
        <a href="<%= alert.linkUrl %>"><%= alert.linkText %></a>
      <% } %>
    </div>
  <% }) %>
<% } %>

这种方法的优势很明显：

• 彻底分离数据与视图逻辑，partial可以同时适配带链接或不带链接的多种提示场景
• 从根源避免XSS风险，所有内容都通过模板引擎的转义输出处理
• 结构清晰易懂，后期维护和扩展都更方便

关于是否需要新建req.flash类型 #

完全不需要！你现有的error和success类型就足够用了，除非你需要对验证类提示做单独的样式或逻辑区分，否则没必要额外新增类型。

内容的提问来源于stack exchange，提问作者Fillipo Sniper