标签: python angularjs django
我试图扩展Django默认autoescape行为以逃避{}字符。
autoescape
{}
问题是我们的Django模板正在打印内联JS模板(angular.js)。但这意味着一些变量django打印可能包含将要执行的{{}}个字符 - 因此允许使用XSS。
{{}}
我们通常会进行转义和后端验证,但有些旧页面可能会跳过基本检查。我们是否有机会直接挂钩自动景观行为以及HTMl自动编码这些额外的字符?