使用Django autoescape转义其他字符

时间:2017-12-05 02:44:47

标签: python angularjs django

我试图扩展Django默认autoescape行为以逃避{}字符。

问题是我们的Django模板正在打印内联JS模板(angular.js)。但这意味着一些变量django打印可能包含将要执行的{{}}个字符 - 因此允许使用XSS。

我们通常会进行转义和后端验证,但有些旧页面可能会跳过基本检查。我们是否有机会直接挂钩自动景观行为以及HTMl自动编码这些额外的字符?

0 个答案:

没有答案