当前位置：首页 > 编程笔记 >

django中模板的html自动转意方法

杜思远

2023-03-14

本文向大家介绍django中模板的html自动转意方法，包括了django中模板的html自动转意方法的使用技巧和注意事项，需要的朋友参考一下

一、需求来源：

如果用户在文本框中填了一段<script>alert(xxx);</script>代码，然后我们还保存在了数据库中，下次模板加载数据的时候，将这段代码显示在浏览器，将会弹出一个警告框。因此，这是XSS（跨域脚本）攻击的一种方式，我们肯定不能允许这种事件发生，因此django默认给我们启动了自动转意的功能。将这段代码转换成普通的文本进行展示。

二、如何关闭：

你肯定会问既然自动转意可以关闭XSS漏洞为什么需要关闭呢？原因很简单，如果你数据库中保存了一段可信任的HTML代码，那么你肯定想将他插在页面文档中，这时候你肯定不想被当成字符串处理。这时候你就可以针对某些模块进行关闭，django提供了两种方式进行关闭：

对单独的变量，用safe过滤器为单独的变量关闭自动转意，比如：

这个data将会被转意：{{ data }}
这个data不会被转意：{{ data|safe }}

对模板块，可以使用autoescape进行统一管理，他有两个参数off和on分别用来关闭和打开自动转意，比如以下代码关闭一整段代码的自动转意：

{% autoescape off %}
 name: {{ name }}
 age: {{ age }}
{% endautoescape %}

以下代码先关闭自动转意再打开自动转意功能：

Auto-escaping is on by default. Hello {{ name }}
{% autoescape off %}
 This will not be auto-escaped: {{ data }}.
 Nor this: {{ other_data }}
 {% autoescape on %}
  Auto-escaping applies again: {{ name }}
 {% endautoescape %}
{% endautoescape %}

注意事项：autoescape标签的作用域不仅可以影响到当前模板还可以通过include标签以及block标签影响到其他的模板。这个一定要切记！

三：过滤器参数里的字符串常量的自动转意：

{{ data|default:"no data" }}

分析以上代码，如果视图函数提供了data数据，则会显示data，如果没有提供，则默认会显示no data。如果你要默认显示带有/,<,",',&也不会进行转意，因此如果你要显示3<1这样带有特殊字符的，将对html文档产生结构上的影响。但是你可以通过3<1这种方式，进行转意输出。

以上这篇django中模板的html自动转意方法就是小编分享给大家的全部内容了，希望能给大家一个参考，也希望大家多多支持小牛知识库。

类似资料：

Django模板中的模数％

问题内容：我正在寻找一种使用django中的模运算符之类的方法。我想做的是在循环中的每个第四个元素中添加一个类名。使用模数，它看起来像这样：当然，这是行不通的，因为％是保留字符。还有其他方法吗？问题答案：您需要divisibleby（内置的django过滤器）。
Django模板中的Vue.js

问题内容：我正在尝试在Django模板中使用Vue.js。以下是一种这样的模板：我将Vue的插值定界符更改为 [[]]，以避免与Django发生冲突。我的样子如下：不幸的是，呈现的HTML包含。还有其他人遇到过类似的问题吗？问题答案：正如Vue v1.0的每个文档所说：因此，在您的示例中更改为：但是，强烈建议您使用新版本的Vue（版本2）以便保持最新！
在Django框架中自定义模板过滤器的方法

本文向大家介绍在Django框架中自定义模板过滤器的方法，包括了在Django框架中自定义模板过滤器的方法的使用技巧和注意事项，需要的朋友参考一下自定义过滤器就是有一个或两个参数的Python函数: (输入)变量的值参数的值，可以是默认值或者完全留空例如，在过滤器 {{ var|foo:"bar" }} 中，过滤器 foo 会被传入变量 var 和默认参数 bar。过滤
模板类中的动态模板方法选择

我想创建一个模板随机数生成器类，它可以是整数类型，也可以是浮点类型。为什么？对于赋值，我编写了一个累积函数（本质上与std:：acculate相同），我想制作一个可以是任意整数或浮点类型的测试工具（例如，无符号| short | long | long long int、float、double）。我们一直在研究模板，我试图通过使用模板编程来做出动态编译时决策。我可能用了错误的方法来处理这个问题-
Golang中的HTML模板

问题内容：我正在按照本教程进行学习： golang教程- Wiki，并且我设法使除“其他任务”部分中的最后一点之外的所有内容都起作用。我对本教程的实现： html / template引擎会按预期方式打印定位标记，但会使用html实体对其进行转义。我还没有找到合适的方法。问题答案：使用template.HTML将正文标记为安全HTML。以下函数将正文转换为HTML。使用以下方式渲染页面
如何在Django模板中转义{{或}}？

问题内容： Django在其模板中将其视为某些变量。我怎样才能逃避或或使得Django不把它当作变量。应该打印完全一样。问题答案：我相信您正在寻找template标签。如链接到文档所述，由于模板系统没有“转义”的概念，因此要显示模板标签中使用的位之一，必须使用标签。例如：将显示为：

相关阅读

如何在Django模板中转义{{或}}？如何在Django模板中转义{{or}}？HTML模板中的playframework JsValue Django模板中的变量减法 django模板中的{％include％}与{％extended％}

相关文章

一分钟自我介绍模板模板模式分钟面试自我介绍模板 Django模型 C++11可变参数模板（函数模板、类模板）

相关问答

在Pycharm中自动完成模板 Spring rest模板无法从text/html转换具有任意异常抛出的模板方法模式在 IntelliJ IDEA 中的自由标记模板中格式化 HTML Pycharm解析Django模板中的引用

相关工具

PHPnow模板引擎 qtcreator项目模板 Google Glass 模板代码费尔模板引擎会转动的饼图

相关文档

Smarty 模板引擎中文文档 Jade 模板引擎中文文档 vue-cli webpack 模板中文文档 The Django Book 中文版 Django 1.8 中文文档