Jinja2不处理已转义的HTML实体

时间:2018-08-13 15:47:38

标签: django jinja2

我有一些API端点,用于存储来自一个应用程序的用户输入,然后使用Django模板在jinja2应用程序中将其读出。

因此,输入经过验证并转义。 API返回如下数据:

{"id": 123, "comment": "<script alert(&quote;I tried to XSS&quote;)>"}

jinja模板呈现此数据时,由于会自动按字面意义进行呈现,因此会呈现

<script alert(...

在页面上。
我希望它能正常渲染这些标签,以便<>正确显示为文本。
但是,我不想启用|safe,因为数据来自多个不受控制的来源,并且仍有注入的可能性。

这可能吗?

0 个答案:

没有答案