自动转义的概念是自动转义特殊字符。 HTML (或 XML ,因此也有 XHTML )意义下的特殊字符是 & , > , < , " 以及 ’ 。因为这些字符在文档中表示它们特定的含义,如果你想在文本中使用它们,应该把它们替换成相应的“实体”。不这么做不仅会导致用户疲于在文本中使用这些字符,也会导致安全问题。
虽然你有时会需要在模板中禁用自动转义,比如在页面中显式地插入 HTML , 可以是一个来自于 markdown 到 HTML 转换器的安全输出。
我们有三种可行的解决方案:
1.在传递到模板之前,用 Markup 对象封装 HTML字符串。一般推荐这个方法。
2.在模板中,使用 |safe 过滤器显式地标记一个字符串为安全的 HTML ( {{ myvariable|safe }} )。
临时地完全禁用自动转义系统。
3.在模板中禁用自动转义系统,可以使用 {%autoescape %} 块:
{% autoescape false %}
autoescaping is disabled here
{{ will_not_be_escaped }}
{% endautoescape %}
django 中 第三种方法的格式:
{% autoescape off %}
autoescaping is disabled here
{{ will_not_be_escaped }}
{% endautoescape %}