Django模板的自动转义,从后台返回html代码的方法——autoescape、safe和mark_safe

最新推荐文章于 2023-09-20 20:41:35 发布
最新推荐文章于 2023-09-20 20:41:35 发布
阅读量759 收藏 2
点赞数 1
文章标签: Django 模板 转义 autoescape safe
原文链接:https://blog.csdn.net/dqchouyang/article/details/51153878
版权

方式一:

Django的模板中会对HTML标签和JS等语法标签进行自动转义,原因显而易见,这样是为了安全。但是有的时候我们可能不希望这些HTML元素被转义(关闭自动转义),比如我们做一个内容管理系统,后台添加的文章中是经过修饰的,这些修饰可能是通过一个类似于FCKeditor编辑加注了HTML修饰符的文本,如果自动转义的话显示的就是保护HTML标签的源文件。为了在Django中关闭HTML的自动转义有两种方式,如果是一个单独的变量我们可以通过过滤器“|safe”的方式告诉Django这段代码是安全的不必转义。比如:

1.这行代表会被自动转义{{ data }}

2.这行代表不会被自动转义 {{ data|safe }}

方式二: 

我们还可以通过{%autoescape off%}的方式关闭整段代码的自动转义,比如下面这样:
{% autoescape off %}
Hello {{ name }}
{% endautoescape %}

对应的实际应用就是,系统在保存一些数据时,必须要保存富文本(html标签)到数据库中(TextField),当这条数据被调用的时候,显示出来的就是带有html的一段标签,这时(系统的前后端未分离)显示给前端(默认自动转义)就是一段html的字符串,而不是真正的html标签,所以要显示真正的html标签的话,就要关闭自动转义。两种方法如上喽。

方式三:

需求:有时需要直接从后台返回html代码,并带有相应的css,免得在前端再写一堆嵌入代码进行判断。

django从 views 往 templates 传输html代码时,默认是不渲染此html代码,原因是为了安全。

而为了渲染html代码,需要额外加上一些代码:

from django.utils.safestring import mark_safe

deploy_success = mark_safe('<span class="label label-success">部署成功</span>')
##或者:mark_safe(”<a href=’/accounts/%s/’>%s</a>” %(self.user.id, self.user.username))
##或者:format_html('<span style="color:{};">{}</span>', color_code, obj.approval)

## 然后在前端使用 {{ deploy_success }} 就能渲染成功


————————————————

原文链接:https://blog.csdn.net/dqchouyang/article/details/51153878

原文链接:https://blog.csdn.net/kong2030/article/details/85702042

HD243608836
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
django模板html自动转意方法
12-24
一、需求来源: 如果用户在文本框中填了一段[removed]alert(xxx);[removed]代码,然后我们还保存在了数据库中,下次模板加载数据的时候,将这段代码显示在浏览器,将会弹出一个警告框。因此,这是XSS(跨域脚本)攻击的一种方式,我们肯定不能允许这种事件发生,因此django默认给我们启动了自动转意的功能。将这段代码转换成普通的文本进行展示。 二、如何关闭: 你肯定会问既然自动转意可以关闭XSS漏洞为什么需要关闭呢?原因很简单,如果你数据库中保存了一段可信任的HTML代码,那么你肯定想将他插在页面文档中,这时候你肯定不想被当成字符串处理。这时候你就可以针对某些模块进行关闭,dja
Django返回HTML文件的实现方法
09-24
主要介绍了Django返回HTML文件的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
django后台返回html代码的实例
09-17
主要介绍了django后台返回html代码的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django管理后台列表页,TextField字段展示换行等格式(format_html
西门大盗 捉虫专家
04-23 1648
因为在django后台管理页面中国,在详情页中输入字段后,在列表页只能一行显示,所以,最后的解决办法是: 在model中定义一个新字段,然后运用到了format_html 方法,把原本的字段return回去 def hang_format(self): return format_html('<pre>{}</pre>', self.hang) 然后在list_display中展示这个字段代替原来的字段即可。 ...
django+vue实现前端文件上传以及后端文件处理返回
qq_54088171的博客
09-20 738
使用vue和django创建一个前后端图片数据交互的小例子。
Django模板中的自动转义autoescape
szial的专栏
08-20 178
自动转义可以有效地防止XSS攻击,但需要谨慎使用。模板语法和变量值都会影响最终的输出通过测试来验证自动转义的具体效果根据需要开启/关闭自动转义,不要完全依赖它。
2021-05-15
ll010705的博客
05-15 95
jinji2模板引擎 模板 借助模板引擎,我们可以在HTML文件中使用特殊的语法来标记出变量,这类包含固定内容和动态部分的可重用文件称为模板模板引擎的作用是读取并执行模板中的特殊语法标记,并根据传入的数据将变量替换为实际值,输出最终的HTML页面,这个过程被称为渲染。 Jinja2 两个概念: ​ jinja2:是python下一个被广泛应用的模板引擎,是python实现的模板语言,它的设计思想来源于Django模板引擎, ​ 并扩展了其语法何一系列强大的功能,其是Flask内置的模板语言 ​ 模板语言
django format_html flatatt 函数
weixin_34250434的博客
01-03 889
Django中的常用的函数format_html,用于格式化生成html模板defformat_html(format_string,*args,**kwargs): """ Similartostr.format,butpassesallargumentsthroughconditional_escape, andcalls'...
Python autoescape标签用法解析---自动转义
a432qbc的博客
05-26 325
这篇文章主要介绍了Python autoescape标签用法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 1.spaceless标签:移除html标签中的空白字符。包括空格、tab键、换行符,示例代码如下: {% spaceless %}具体内容{% endspaceless %} 2.autoescape标签:DTL模板中默认已经开启了自动转义,会将那些特殊字符串进行转义,比如会将“<”转义成<会将“>”转移成“>”,使用D
Django使用mark_safe()和format_html()函数
bocai_xiaodaidai的博客
08-19 8466
django从view向template传递HTML字符串的时候,django默认不渲染此HTML,原因是为了防止这段字符串里面有恶意攻击的代码。 如果需要渲染这段字符串,需要在view里这样写: from django.utils.safestring import mark_safe def view(request): .... pageHtml = mark_saf...
django实现模板中的字符串文字和自动转义
12-20
模板中的字符串文字不会自动转义,因为这里默认模板的作者已经正确书写模板的内容。 {{ data|default:”This is a string literal.” }} 如果我们在data不存在时,显示默认文字“3 < 2”,则代码如下: {{ data...
Django_layui后台模板
10-09
Django_layui后台模板
vue+django 返回的数据中内含外键关联组成的列表
ctrl_z_x_c的博客
10-22 474
如题,返回的数据中内含外键关联组成的列表,比如一个部门有多个人,将所有人和部门组成键值对,形成字典,返回数据以后,渲染出现问题, 决绝方案: 在el-table-column里添加遍历,如下 <el-table-column prop="Dis_Size" label="磁盘大小" > <template slot-scope="scope"> <div> <li v-for="item in scope.row.Dis_Size"&g
(Vue+Django)实现前端下载后端生成的csv数据
qq_30108237的博客
05-28 866
前端下载后端生成的csv数据前端VUE实现后端Django-CBV实现 前端VUE实现 <template> <div id="home"> <a :href="'http://localhost:8000/download/?id=' + id"> 下载</a></div> </template> <script> export default { name: 'home
Django后端接收VUE前端数据的两种方法
m0_56118578的博客
12-15 2817
vue前端向Django后端传输数据,最大的区别是Django后端的接收方式,下面会针对两种不同的Django后端接收方式进行说明。
html 模板语言 实现,django-html模板模板的执行、模板语言、自定义simple_tag)
weixin_33520510的博客
06-03 168
模板1、模版的执行模版的创建过程,对于模版,其实就是读取模版(其中嵌套着模版标签),然后将 Model 中获取的数据插入到模版中,最后将信息返回给用户。def current_datetime(request):now = datetime.datetime.now()html = "It is now %s." % nowreturn HttpResponse(html)from django ...
Django模板语言(二)
一名小测试
04-26 262
extends标签,模板继承 Django模板引擎中最强大的——也是最复杂的——部分是模板继承。模板继承允许你建立一个基本的“骨架”模板,它包含了你网站的所有常用元素,并定义了子模板可以覆盖的块。 首先创建一个基础模板 base.html: ...
30.Python中autoescape标签使用详解
zjy123078_zjy的博客
01-16 890
1.spaceless标签:移除html标签中的空白字符。包括空格、tab键、换行符,示例代码如下: {% spaceless %}具体内容{% endspaceless %} 2.autoescape标签:DTL模板中默认已经开启了自动转义,会将那些特殊字符串进行转义,比如会将“<”转义成<会将“>”转移成“>”,使用DTL的自动转义,可以使网站不容易出现XSS漏洞。 ...
springboot(酒店管理系统)
最新发布
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
如何用django和react来调用后台代码并把结果返回给前端
03-06
你可以使用 Django REST framework 来创建 API,然后使用 React 来调用这些 API。在 Django 中,你可以使用视图函数或类视图来处理 API 请求,并返回 JSON 格式的数据。在 React 中,你可以使用 fetch 或 axios 等库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值