快捷導(dǎo)航

django中模板的html自動(dòng)轉(zhuǎn)意方法

更新時(shí)間：2018年05月27日 09:18:26 作者：南窗客斯黃

今天小編就為大家分享一篇django中模板的html自動(dòng)轉(zhuǎn)意方法，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過來看看吧

一、需求來源：

如果用戶在文本框中填了一段<script>alert(xxx);</script>代碼，然后我們還保存在了數(shù)據(jù)庫(kù)中，下次模板加載數(shù)據(jù)的時(shí)候，將這段代碼顯示在瀏覽器，將會(huì)彈出一個(gè)警告框。因此，這是XSS（跨域腳本）攻擊的一種方式，我們肯定不能允許這種事件發(fā)生，因此django默認(rèn)給我們啟動(dòng)了自動(dòng)轉(zhuǎn)意的功能。將這段代碼轉(zhuǎn)換成普通的文本進(jìn)行展示。

二、如何關(guān)閉：

你肯定會(huì)問既然自動(dòng)轉(zhuǎn)意可以關(guān)閉XSS漏洞為什么需要關(guān)閉呢？原因很簡(jiǎn)單，如果你數(shù)據(jù)庫(kù)中保存了一段可信任的HTML代碼，那么你肯定想將他插在頁面文檔中，這時(shí)候你肯定不想被當(dāng)成字符串處理。這時(shí)候你就可以針對(duì)某些模塊進(jìn)行關(guān)閉，django提供了兩種方式進(jìn)行關(guān)閉：

對(duì)單獨(dú)的變量，用safe過濾器為單獨(dú)的變量關(guān)閉自動(dòng)轉(zhuǎn)意，比如：

這個(gè)data將會(huì)被轉(zhuǎn)意：{{ data }}
這個(gè)data不會(huì)被轉(zhuǎn)意：{{ data|safe }}

對(duì)模板塊，可以使用autoescape進(jìn)行統(tǒng)一管理，他有兩個(gè)參數(shù)off和on分別用來關(guān)閉和打開自動(dòng)轉(zhuǎn)意，比如以下代碼關(guān)閉一整段代碼的自動(dòng)轉(zhuǎn)意：

{% autoescape off %}
 name: {{ name }}
 age: {{ age }}
{% endautoescape %}

以下代碼先關(guān)閉自動(dòng)轉(zhuǎn)意再打開自動(dòng)轉(zhuǎn)意功能：

Auto-escaping is on by default. Hello {{ name }}
{% autoescape off %}
 This will not be auto-escaped: {{ data }}.
 Nor this: {{ other_data }}
 {% autoescape on %}
  Auto-escaping applies again: {{ name }}
 {% endautoescape %}
{% endautoescape %}

注意事項(xiàng)：autoescape標(biāo)簽的作用域不僅可以影響到當(dāng)前模板還可以通過include標(biāo)簽以及block標(biāo)簽影響到其他的模板。這個(gè)一定要切記！

三：過濾器參數(shù)里的字符串常量的自動(dòng)轉(zhuǎn)意：

{{ data|default:"no data" }}

分析以上代碼，如果視圖函數(shù)提供了data數(shù)據(jù)，則會(huì)顯示data，如果沒有提供，則默認(rèn)會(huì)顯示no data。如果你要默認(rèn)顯示帶有/,<,",',&也不會(huì)進(jìn)行轉(zhuǎn)意，因此如果你要顯示3<1這樣帶有特殊字符的，將對(duì)html文檔產(chǎn)生結(jié)構(gòu)上的影響。但是你可以通過3<1這種方式，進(jìn)行轉(zhuǎn)意輸出。

以上這篇django中模板的html自動(dòng)轉(zhuǎn)意方法就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章: