一��、需求來源:
如果用戶在文本框中填了一段<script>alert(xxx);</script>代碼,然后我們還保存在了數據庫中�����,下次模板加載數據的時候���,將這段代碼顯示在瀏覽器��,將會彈出一個警告框����。因此����,這是XSS(跨域腳本)攻擊的一種方式���,我們肯定不能允許這種事件發生�����,因此django默認給我們啟動了自動轉意的功能����。將這段代碼轉換成普通的文本進行展示�����。
二��、如何關閉:
你肯定會問既然自動轉意可以關閉XSS漏洞為什么需要關閉呢?原因很簡單���,如果你數據庫中保存了一段可信任的HTML代碼,那么你肯定想將他插在頁面文檔中�����,這時候你肯定不想被當成字符串處理。這時候你就可以針對某些模塊進行關閉��,django提供了兩種方式進行關閉:
對單獨的變量�,用safe過濾器為單獨的變量關閉自動轉意,比如:
這個data將會被轉意:{{ data }}這個data不會被轉意:{{ data|safe }}對模板塊���,可以使用autoescape進行統一管理,他有兩個參數off和on分別用來關閉和打開自動轉意��,比如以下代碼關閉一整段代碼的自動轉意:
{% autoescape off %} name: {{ name }} age: {{ age }}{% endautoescape %}以下代碼先關閉自動轉意再打開自動轉意功能:
Auto-escaping is on by default. Hello {{ name }}{% autoescape off %} This will not be auto-escaped: {{ data }}. Nor this: {{ other_data }} {% autoescape on %} Auto-escaping applies again: {{ name }} {% endautoescape %}{% endautoescape %}注意事項:autoescape標簽的作用域不僅可以影響到當前模板還可以通過include標簽以及block標簽影響到其他的模板����。這個一定要切記�����!
三:過濾器參數里的字符串常量的自動轉意:
{{ data|default:"no data" }}分析以上代碼��,如果視圖函數提供了data數據,則會顯示data���,如果沒有提供,則默認會顯示no data�。如果你要默認顯示帶有/,<,",',&也不會進行轉意���,因此如果你要顯示3<1這樣帶有特殊字符的�����,將對html文檔產生結構上的影響。但是你可以通過3<1這種方式,進行轉意輸出��。
以上這篇django中模板的html自動轉意方法就是小編分享給大家的全部內容了�����,希望能給大家一個參考�,也希望大家多多支持武林站長站����。
