django中模板的html自动转意方法

框架(架构)  /  管理员 发布于 7年前   144

一、需求来源：

如果用户在文本框中填了一段<script>alert(xxx);</script>代码，然后我们还保存在了数据库中，下次模板加载数据的时候，将这段代码显示在浏览器，将会弹出一个警告框。因此，这是XSS（跨域脚本）攻击的一种方式，我们肯定不能允许这种事件发生，因此django默认给我们启动了自动转意的功能。将这段代码转换成普通的文本进行展示。

二、如何关闭：

你肯定会问既然自动转意可以关闭XSS漏洞为什么需要关闭呢？原因很简单，如果你数据库中保存了一段可信任的HTML代码，那么你肯定想将他插在页面文档中，这时候你肯定不想被当成字符串处理。这时候你就可以针对某些模块进行关闭，django提供了两种方式进行关闭：

对单独的变量，用safe过滤器为单独的变量关闭自动转意，比如：

这个data将会被转意：{{ data }}这个data不会被转意：{{ data|safe }}

对模板块，可以使用autoescape进行统一管理，他有两个参数off和on分别用来关闭和打开自动转意，比如以下代码关闭一整段代码的自动转意：

{% autoescape off %} name: {{ name }} age: {{ age }}{% endautoescape %}

以下代码先关闭自动转意再打开自动转意功能：

Auto-escaping is on by default. Hello {{ name }}{% autoescape off %} This will not be auto-escaped: {{ data }}. Nor this: {{ other_data }} {% autoescape on %}  Auto-escaping applies again: {{ name }} {% endautoescape %}{% endautoescape %}

注意事项：autoescape标签的作用域不仅可以影响到当前模板还可以通过include标签以及block标签影响到其他的模板。这个一定要切记！

三：过滤器参数里的字符串常量的自动转意：

{{ data|default:"no data" }}

分析以上代码，如果视图函数提供了data数据，则会显示data，如果没有提供，则默认会显示no data。如果你要默认显示带有/,<,",',&也不会进行转意，因此如果你要显示3<1这样带有特殊字符的，将对html文档产生结构上的影响。但是你可以通过3<1这种方式，进行转意输出。

以上这篇django中模板的html自动转意方法就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持。