django中模板的html自动转意方法
一、需求来源:
如果用户在文本框中填了一段代码,然后我们还保存在了数据库中,下次模板加载数据的时候,将这段代码显示在浏览器,将会弹出一个警告框。因此,这是XSS(跨域脚本)攻击的一种方式,我们肯定不能允许这种事件发生,因此django默认给我们启动了自动转意的功能。将这段代码转换成普通的文本进行展示。
二、如何关闭:
你肯定会问既然自动转意可以关闭XSS漏洞为什么需要关闭呢?原因很简单,如果你数据库中保存了一段可信任的HTML代码,那么你肯定想将他插在页面文档中,这时候你肯定不想被当成字符串处理。这时候你就可以针对某些模块进行关闭,django提供了两种方式进行关闭:
对单独的变量,用safe过滤器为单独的变量关闭自动转意,比如:
这个data将会被转意:{{data}} 这个data不会被转意:{{data|safe}}
对模板块,可以使用autoescape进行统一管理,他有两个参数off和on分别用来关闭和打开自动转意,比如以下代码关闭一整段代码的自动转意:
{%autoescapeoff%} name:{{name}} age:{{age}} {%endautoescape%}
以下代码先关闭自动转意再打开自动转意功能:
Auto-escapingisonbydefault.Hello{{name}} {%autoescapeoff%} Thiswillnotbeauto-escaped:{{data}}. Northis:{{other_data}} {%autoescapeon%} Auto-escapingappliesagain:{{name}} {%endautoescape%} {%endautoescape%}
注意事项:autoescape标签的作用域不仅可以影响到当前模板还可以通过include标签以及block标签影响到其他的模板。这个一定要切记!
三:过滤器参数里的字符串常量的自动转意:
{{data|default:"nodata"}}
分析以上代码,如果视图函数提供了data数据,则会显示data,如果没有提供,则默认会显示nodata。如果你要默认显示带有/,<,",',&也不会进行转意,因此如果你要显示3<1这样带有特殊字符的,将对html文档产生结构上的影响。但是你可以通过3<1这种方式,进行转意输出。
以上这篇django中模板的html自动转意方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。