Django模板中的HTML自动转义

最新推荐文章于 2024-05-03 19:21:29 发布
最新推荐文章于 2024-05-03 19:21:29 发布
阅读量4.3k 收藏 2
点赞数
分类专栏: django 文章标签: django
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zahuopuboss/article/details/50545566
版权

http://gaojohn.blogchina.com/1277698.html


做Web开发的人都明白,我们应该避免在用户输入信息中出现HTML标签。比如考虑下面的Django模板信息:

Hello {{ name }}.

这看起来没什么问题,但是假如用户输入的name是下面这样的信息就麻烦了:

浏览器会解析这个信息并弹出一个对话框,这显然不是我们所希望的。毫无疑问,对于用户输入的信息,我们总是应该进行验证。你不知道是否会有一个“恶意”的用户会利用这个漏洞来做一些不好的事情。
为了避免以上问题,你有两个选择:

1. 给每个变量加上一个escape过滤器来进行HTML转义。Django刚发布那几年都是这样要求开发人员的。但是,这相当于把责任踢给了开发人员。难免会有人忘记了写这个转义过滤器。

2. 或者你可以选择使用Django的自动HTML转义功能,下面我将介绍它。

缺省情况下的转义方式是这样的:

•  < 被转换为 <
•  > 被转换为 >
• ’  (单引号)被转换为 '

 

• ” (双引号)被转换为 "
• & 被转换为 &

 

上面的转义规则是缺省的,所以如果你不想让某段信息被执行HTML转义,可以这样:

1. 对于单个变量,可以在其后面加上safe过滤器,告诉Django这个字符串不用进行HTML转义。比如:

This will be escaped: {{ data }}
This will not be escaped: {{ data|safe }}

如果其中的data的值是

This will be escaped:
This will not be escaped:

2. 对于一段模板内容可以使用autoescape标签,比如:

{% autoescape off %}
Hello {{ name }}
{% endautoescape %}

这里的off 参数表明被autoescape包含的信息都不需要执行HTML转义。on 参数表示需要执行HTML转义,比如有的时候你希望一段信息中大部分不需要HTML转义,但是其中某个部分需要HTML转义,可以这样:

{% autoescape off %}
This will not be auto-escaped: {{ data }}.
Nor this: {{ other_data }}
{% autoescape on %}
Auto-escaping applies again: {{ name }}
{% endautoescape %}
{% endautoescape %}

另外需要注意的一点是autoescape是存在继承性的,比如你在父模板中有一个autoescape标签并且参数为off,那么继承它的子模板也会在相应的部分继承这一特性。比如:

# base.html
{% autoescape off %}

{% block title %}{% endblock %}


{% block content %}
{% endblock %}
{% endautoescape %}

# child.html 
{% extends "base.html" %}
{% block title %}This & that{% endblock %}
{% block content %}{{ greeting }}{% endblock %}

最后要提一下 字符串的default过滤器,比如下面这个例子:

{{ data|default:"This is a string literal." }}

如果你在default:后面的缺省值中包含了HTML特殊字符,那么是不会被转义的,比如你应该按照下面第一种的方式来写,而不是第二种:

# 正确的写法
{{ data|default:"3 < 2" }}
# 错误的写法
{{ data|default:"3 < 2" }}


雜貨鋪老闆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
django html模板_如何在Django添加HTML模板
culing2941的博客
09-16 2389
django html模板In last tutorial we have seen, how we can return a HTML code through a string from views.py. It is not a good idea to pass whole HTML code through a string because if we have to design a ...
Djangoforloop模板变量
Great haste makes great waste
09-28 730
Django的{% for .. %} 循环有一个forloop模板变量,该变量可用来提示循环进度信息。 forloop.counter 总是一个表示当前循环的执行次数的整数计数器。 这个计数器是从1开始的,所以在第一次循环时 forloop.counter 将会被设置为1。{% for item in todo_list %} <p>{{ forloop.counter }}: {{
django html文乱码,如何使用Python/Django执行HTML解码/编码?
weixin_35375774的博客
06-19 379
对于Django用例,有两个答案。下面是它的django.utils.html.escape函数,供参考:def escape(html):"""Returns the given HTML with ampersands, quotes and carets encoded."""return mark_safe(force_unicode(html).replace('&', '&am...
Django模板的关闭和开启HTML自动转义,解析
KratoCC的专栏
11-27 1869
做Web开发的人都明白,我们应该避免在用户输入信息出现HTML标签。比如考虑下面的Django模板信息: Hello {{ name }}. 这看起来没什么问题,但是假如用户输入的name是下面这样的信息就麻烦了: // <![CDATA[ alert(’hello’) // ]]> 浏览器会解析这个信息并弹出一个对话框,这显然不是我们所希望的。毫无疑问,对于用户
最新(四)Django学习——模板标签定义及语法:for循环
最新发布
2301_82243493的博客
05-03 724
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
django多个html模板,django二、模板详解(templates)——页面视图
weixin_30905039的博客
06-16 528
django模板(templates)在Django框架模板是可以帮助开发者快速生成呈现给用户页面的工具   模板的设计方式实现了我们MTVV和T的解耦,VT有着N:M的关系,一个V可以调用任意T,一个T可以供任意V使用 模板处理分为两个过程 加载 渲染加载静态配置文件在settings.py最底下有一个叫做static的文件夹,主要用来加载一些模板用到的资源,提供给全局使用这个静态文件...
Django框架下的html模板过滤器
grfstc的博客
05-17 556
过滤器主要是对上下文内容进行处理,如替换,反转和转义等等,将格式和内容转化成我们想要的,减少模板代码量,方法如下: {{ variable 上下文 | filter 过滤器1 | filter2 }} 过滤器可以传入参数,但仅支持传入一个参数。带参数的过滤器与参数之间以“:”隔开,并且两者之间不能有空格如:{{ variable | date:"D d M Y" }} 自带过滤器: 1、add 使用形式为:{{ value | add: "2"}} 意义:将value的值增加2 2、adds..
django实现模板的字符串文字和自动转义
12-20
模板的字符串文字默认是不会自动转义的,这意味着当你在模板直接插入字符串时,任何特殊字符(如 `、`>`)会被浏览器解释为HTML标签,而不是纯文本。为了确保安全,防止XSS(跨站脚本攻击),Django提供了过滤器...
django模板html自动转意方法
09-20
今天小编就为大家分享一篇django模板html自动转意方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
django模板获取list指定索引的值方式
09-16
本文将详细讲解如何在Django模板获取列表指定索引的值,以及在处理包含HTML内容的列表时需要注意的转义问题。 首先,让我们看看如何获取列表指定索引的值。假设你有一个名为`goods`的列表,你可以通过以下...
django从后台返回html代码的实例
09-17
需要注意的是,使用这些方法时要格外小心,因为它们会禁用 Django自动转义机制。如果HTML代码包含恶意输入,可能会引发 XSS 攻击。因此,在使用 `mark_safe()` 或 `safe` 过滤器之前,务必确保你的 HTML 内容是...
djangohtml模板,自定义模板(template)的标签(tags)和过滤器(filters)
weixin_42668301的博客
06-17 335
包含标签¶django.template.Library.inclusion_tag()¶另一种常见的模板标签会为 另一个 模板渲染数据。例如, Django 的后台利用自定义模板标签在表单页的底部展示按钮。这些按钮看起来一样,但是连接目标根据被编辑的对象不同而不同——所以,这是一个极好的例子,展示如何用当前对象的细节填充小模板。(在后台例子,即 submit_row 标签。)这种标签被称为“包...
django html页面 Template模板语法
热门推荐
梦想家博客
06-14 1万+
Template模板语法10.1 If 基本语法10.1.1对象是否存在对象是否存在: str = ‘’{% if str%}        {{ a }}{%else}        {{ b }}{%endif} {% if not user_obj %} 不存在 {% endif %}10.1.2 对象是否为0判断对象空字符串: {% if not class_name_for_templa...
Django-5-templates模板显示html页面
karry_孙二的博客
04-09 819
前言 一般我们打开浏览器访问,看到的不会是一连串字符串,而是一个个网页,也就是所谓的视图 一般我们的视图(html文件)是放在templates目录下的 本篇基于上一篇新建的django项目继续操作 在django_study.templates目录下新建register.html <!DOCTYPE html> <html lang="en"> <...
Django模板自动转义
dqchouyang的专栏
04-14 4671
Django模板会对HTML标签和JS等语法标签进行自动转义,原因显而易见,这样是为了安全。但是有的时候我们可能不希望这些HTML元素被转义,比如我们做一个内容管理系统,后台添加的文章是经过修饰的,这些修饰可能是通过一个类似于FCKeditor编辑加注了HTML修饰符的文本,如果自动转义的话显示的就是保护HTML标签的源文件。为了在Django关闭HTML自动转义有两种方式,如果是一个单独
django模板的字符串文字和自动转义
u011300968的博客
07-20 3725
本文只考虑模板的字符串,不考虑字符串带标签的情况。 模板的字符串文字不会自动转义,因为这里默认模板的作者已经正确书写模板的内容。{{ data|default:"This is a string literal." }}如果我们在data不存在时,显示默认文字“3 < 2”,则代码如下:{{ data|default:"3 < 2" }}注意:不应该写成如下形式{{ data|defa
django模板输出HTML去掉自动转义
DayBreak
12-11 547
{% autoescape off %} {{ article_view.article|escape|linebreaks }}    {% endautoescape %}
Djangohtml转义
wenpy的博客
06-13 385
一、html转义知识点 在html模板上下文html标记默认是会被转义的。 关闭转义的两种方法: {{ 模板变量|safe }} {% autoescape off %} 模板变量 {% endautoescape %} 二、代码演示 视图函数 def temp_escape(request): return render(request, 'mytemplat...
[django]在页面正常显示包含html标记的内容
weixin_33901843的博客
03-03 217
在我们使用django开发类似于博客这样的系统,肯定会有一些富文本的内容,就是说在编辑的时候,可以进行加粗、字体、段落、表格等等操作。 我们会把编辑好的内容存储起来,然后在用的时候读取出来显示,但是如果直接显示,会把富文本的标记一起显示,而没有真正显示富文本的效果。 这是因为django模板系统做了一些工作,例如,把<转换为&lt,把>转换为&am...
django 运费模板
04-11
Django,您可以创建一个模板文件,其包含HTML模板语言。模板语言允许您在模板插入动态数据、循环和条件语句等。您可以使用模板标签和过滤器来处理数据并进行逻辑操作。 要使用Django模板,您需要在视图...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值