Django模板(编写html代码

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xun527/article/details/78208823

1.模板

 

  • 用于编写html代码,还可以嵌入模板代码更快更方便的完成页面开发,再通过在视图中渲染模板,将生成最终的html字符串返回给客户端浏览器
  • 模版致力于表达外观,一个视图可以使用任意一个模板,一个模板可以供多个视图使用

 

  • 模板包含两部分
  • 静态部分,包含html、css、js
  • 动态部分,就是模板语言
  • Django处理模板分为两个阶段
  • 1.加载:根据给定的路径找到模板文件,编译后放在内存中
  • 2.渲染:使用上下文数据对模板插值并返回生成的字符串
  • 为了减少开发人员重复编写加载、渲染的代码,Django提供了简写函数render,用于调用模板

 

 

2.模板语言

 

变量:{{变量}}

  • 变量的作用是计算并输出
  • 变量名必须由字母、数字、下划线(不能以下划线开头)和点组成
  • 当模版引擎遇到如book.title,会按照下列顺序解析:
  • 1.字典book['title']
  • 2.先属性后方法,将book当作对象,查找属性title,如果没有再查找方法title()
  • 3.如果是格式为book.0则解析为列表book[0]
  • 如果变量不存在则插入空字符串''
  • 在模板中调用方法时不能传递参数

 

标签:{%代码段%}

  • for标签语法如下

{%for item in 列表%}
循环逻辑
{{forloop.counter}}表示当前是第几次循环,从1开始
{%empty%}
列表为空或不存在时执行此逻辑
{%endfor%}

  • if标签语法如下

{%if ...%}
逻辑1
{%elif ...%}
逻辑2
{%else%}
逻辑3
{%endif%}

  • 比较运算符如下
  • 注意:运算符左右两侧不能紧挨变量或常量,必须有空格

==!=<><=>=

  • 布尔运算符andornot

 

 

过滤器

  • 语法:使用管道符号|来应用过滤器,用于进行计算、转换操作,可以使用在变量、标签中
  • 如果过滤器需要参数,则使用冒号:传递参数

变量|过滤器:参数

  • 长度length,返回字符串包含字符的个数,或列表、元组、字典的元素个数
  • 默认值default,如果变量不存在时则返回默认值

data|default:'默认值'

  • 日期date,用于对日期类型的值进行字符串格式化,常用的格式化字符如下
  • Y表示年,格式为4位,y表示两位的年
  • m表示月,格式为01,02,12等
  • j表示日,格式为1,2等
  • H表示时,24进制,h表示12进制的时
  • i表示分,为0-59
  • s表示秒,为0-59

value|date:"Ymj  His"

 

自定义过滤器

  • 过滤器就是python中的函数,注册后就可以在模板中当作过滤器使用

 

  • 1.在应用中创建templatetags目录,当前示例为”booktest/templatetags“,创建init文件,内容为空

 

  • 2.在”booktest/templatetags“目录下创建filters.py文件,代码如下

#coding=utf-8
#引入注册对象
from django.template import Library
register=Library()

#
使用装饰器进行注册
@register.filter
#定义求余函数mod,将value对2求余
def mod(value):
    return value%2

 

3.在templates/booktest/guolvqi.html中,使用自定义过滤器

  • 4.首先使用load标签引入模块:{%load filters%}

 

  • 过滤器可以接收参数,将booktest/templatetags/filters.py中增加mod_num函数

#使用装饰器进行注册
@register.filter
#定义求余函数mod_num,将value对num求余
def mod_num(value,num):
    return value%num

  • 说明:只能额外传递一个参数

 

注释

  • 在模板中使用如下模板注释,这段代码不会被编译,不会输出到客户端;html注释只能注释html内容,不能注释模板语言
  • 单行注释语法如下

{#...#}

  • 注释可以包含任何模版代码,有效的或者无效的都可以

{# { % if foo % }bar{ % else %} #}

  • 多行注释使用comment标签,语法如下

{%comment%}
...
{%endcomment%}

 

 

3.模板继承

  • 模板继承和类的继承含义是一样的,主要是为了提高代码重用,减轻开发人员的工作量
  • 典型应用:网站的头部、尾部信息

 

父模板

  • 如果发现在多个模板中复制一段代码,那就应该把这段内容定义到父模板中
  • 标签block:用于在父模板中预留区域,留给子模板填充差异性的内容,名字不能相同
  • 为了更好的可读性,建议给endblock标签写上名字,这个名字与对应的block名字相同
  • 父模板中也可以使用上下文中传递过来的数据

{%block 名称%}
预留区域,可以编写默认内容,也可以没有默认内容
{%endblock 
名称%}

子模板

  • 标签extends:继承,写在子模板文件的第一行

{% extends"父模板名称"%}

  • 子模版不用填充父模版中的所有预留区域,如果子模版没有填充,则使用父模版定义的默认值
  • 填充父模板中指定名称的预留区域

{%block 名称%}
实际填充内容
{{block.super}}用于获取父模板中block的内容
{%endblock 名称%}

 

 

4.HTML转义

  • 模板对上下文传递的字符串进行输出时,会对以下字符自动转义

小于号< 转换为&lt;
大于号> 转换为&gt

单引号' 转换为&#39;

双引号" 转换为 &quot;
与符号& 转换为 &amp;

  • 转义后标记代码不会被直接解释执行,而是被直接呈现,防止客户端通过嵌入js代码攻击网站

 

关闭转义

  • 过滤器escape可以实现对变量的html转义,默认模板就会转义,一般省略

{{t1|escape}}

  • 过滤器safe:禁用转义,告诉模板这个变量是安全的,可以解释执行

{{data|safe}}

 

  • 标签autoescape:设置一段代码都禁用转义,接受on、off参数

{%autoescapeoff%}
...
{%endautoescape%}

 

 

5.CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。
  • CSRF示意图如下


  • 如果想防止CSRF,首先是重要的信息传递都采用POST方式而不是GET方式,接下来就说POST请求的攻击方式以及在Django中的避免

 

  • 重要信息如金额、积分等,采用POST方式传递

防止CSRF两种方式:

  • 配置/settings.py中启用csrf中间件即可
  • 在form表单中加入标签csrf_token:{%csrf_token%}
阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页