django中模板的html自動轉(zhuǎn)意方法

更新時間：2018年05月27日 09:18:26 作者：南窗客斯黃

今天小編就為大家分享一篇django中模板的html自動轉(zhuǎn)意方法，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧

一、需求來源：

如果用戶在文本框中填了一段<script>alert(xxx);</script>代碼，然后我們還保存在了數(shù)據(jù)庫中，下次模板加載數(shù)據(jù)的時候，將這段代碼顯示在瀏覽器，將會彈出一個警告框。因此，這是XSS（跨域腳本）攻擊的一種方式，我們肯定不能允許這種事件發(fā)生，因此django默認(rèn)給我們啟動了自動轉(zhuǎn)意的功能。將這段代碼轉(zhuǎn)換成普通的文本進(jìn)行展示。

二、如何關(guān)閉：

你肯定會問既然自動轉(zhuǎn)意可以關(guān)閉XSS漏洞為什么需要關(guān)閉呢？原因很簡單，如果你數(shù)據(jù)庫中保存了一段可信任的HTML代碼，那么你肯定想將他插在頁面文檔中，這時候你肯定不想被當(dāng)成字符串處理。這時候你就可以針對某些模塊進(jìn)行關(guān)閉，django提供了兩種方式進(jìn)行關(guān)閉：

對單獨(dú)的變量，用safe過濾器為單獨(dú)的變量關(guān)閉自動轉(zhuǎn)意，比如：

這個data將會被轉(zhuǎn)意：{{ data }}
這個data不會被轉(zhuǎn)意：{{ data|safe }}

對模板塊，可以使用autoescape進(jìn)行統(tǒng)一管理，他有兩個參數(shù)off和on分別用來關(guān)閉和打開自動轉(zhuǎn)意，比如以下代碼關(guān)閉一整段代碼的自動轉(zhuǎn)意：

{% autoescape off %}
 name: {{ name }}
 age: {{ age }}
{% endautoescape %}

以下代碼先關(guān)閉自動轉(zhuǎn)意再打開自動轉(zhuǎn)意功能：

Auto-escaping is on by default. Hello {{ name }}
{% autoescape off %}
 This will not be auto-escaped: {{ data }}.
 Nor this: {{ other_data }}
 {% autoescape on %}
  Auto-escaping applies again: {{ name }}
 {% endautoescape %}
{% endautoescape %}

注意事項(xiàng)：autoescape標(biāo)簽的作用域不僅可以影響到當(dāng)前模板還可以通過include標(biāo)簽以及block標(biāo)簽影響到其他的模板。這個一定要切記！

三：過濾器參數(shù)里的字符串常量的自動轉(zhuǎn)意：

{{ data|default:"no data" }}

分析以上代碼，如果視圖函數(shù)提供了data數(shù)據(jù)，則會顯示data，如果沒有提供，則默認(rèn)會顯示no data。如果你要默認(rèn)顯示帶有/,<,",',&也不會進(jìn)行轉(zhuǎn)意，因此如果你要顯示3<1這樣帶有特殊字符的，將對html文檔產(chǎn)生結(jié)構(gòu)上的影響。但是你可以通過3<1這種方式，進(jìn)行轉(zhuǎn)意輸出。

以上這篇django中模板的html自動轉(zhuǎn)意方法就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

python中numpy矩陣的零填充的示例代碼
本文主要介紹了python中numpy矩陣的零填充的示例代碼，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2022-08-08
Django細(xì)致講解多對多使用through自定義中間表方法
我們在開發(fā)網(wǎng)站的時候，無可避免的需要設(shè)計(jì)實(shí)現(xiàn)網(wǎng)站的用戶系統(tǒng),我們需要實(shí)現(xiàn)包括用戶注冊、用戶登錄、用戶認(rèn)證、注銷等功能，Django作為完美主義終極框架，它默認(rèn)使用auth_user表來存儲用戶數(shù)據(jù)，下面我們來看看Django多對多使用through自定義中間表
2022-06-06
使用Python實(shí)現(xiàn)提取PDF文件中指定頁面的內(nèi)容
在日常工作和學(xué)習(xí)中,我們經(jīng)常需要從PDF文件中提取特定頁面的內(nèi)容,本文主要為大家詳細(xì)介紹了如何使用Python編程語言和兩個強(qiáng)大的庫——pymupdf和wxPython來實(shí)現(xiàn)這個任務(wù),需要的可以了解下
2023-12-12
解決Python報錯No module named Crypto問題
這篇文章主要介紹了解決Python報錯No module named“Crypto”問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2024-06-06
Keras - GPU ID 和顯存占用設(shè)定步驟
這篇文章主要介紹了Keras - GPU ID 和顯存占用設(shè)定步驟，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-06-06
Python中datetime常用時間處理方法
Python提供了多個內(nèi)置模塊用于操作日期時間，像calendar，time，datetime。今天我們主要來探討下datetime的使用方法，有需要的小伙伴可以參考下。
2015-06-06
python 中使用yagmail 發(fā)送郵件功能
這篇文章主要介紹了python 中使用yagmail 發(fā)送郵件功能，本文給大家介紹的非常詳細(xì)，對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
2021-12-12
python+html實(shí)現(xiàn)前后端數(shù)據(jù)交互界面顯示的全過程
最近項(xiàng)目中采用了前后端分離的技術(shù),感覺有必要給大家總結(jié)下,所以下面這篇文章主要給大家介紹了關(guān)于python+html實(shí)現(xiàn)前后端數(shù)據(jù)交互界面顯示的相關(guān)資料,需要的朋友可以參考下
2022-06-06
Pandas數(shù)據(jù)形狀df.shape的實(shí)現(xiàn)
本文主要介紹了Pandas數(shù)據(jù)形狀df.shape的實(shí)現(xiàn)，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2022-07-07
Numpy中np.random.rand()和np.random.randn() 用法和區(qū)別詳解
這篇文章主要介紹了Numpy中np.random.rand()和np.random.randn() 用法和區(qū)別詳解，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-10-10