Flask-WTF,使用{{field | safe}}的宏使用产生意外输出(HTML转义)
-
当输入为
-
此时输出为
-
但是当我将输入更改为
-
我的输出更改为
请有人解释一下为什么会这样吗? {{field | safe}}的作用是什么?
我的App.py代码-
class ContactForm(FlaskForm):
name = StringField("Name Of Student",validators = [InputRequired(message
= 'Name is missing'),Length(min=5,max=10,message="wrong")])
email = StringField("email",[validators.Email("Please enter your email
address.")])
@app.route('/form', methods = ['GET','POST'])
def index():
form = ContactForm()
if form.validate_on_submit():
return render_template('macro_output.html',form=form)
return render_template('main_form.html',form=form)
macro_form.html
{% macro render_output(field) %}
<p>
{{ field.label}}
{{ field |safe}}
</p>
{% endmacro %}
macro_output.html
{% from "macro_form.html" import render_field,
render_ErrorMessage,render_output %}
<html>
<body>
{{ render_output(form.name)}}
{{ render_output(form.name.data)}}
{{ render_output(form.email)}}
{{ render_output(form.email.data)}}
</body>
</html>
1 个答案:
答案 0 :(得分:0)
jijna2过滤器safe将字符串视为安全,并且不会通过自动转义任何原本会解释为代码的字符(在这种情况下为HTML代码)来进行任何预格式化。
因此,如果某个变量,例如form.name.data = <html>,然后调用{{ form.name.data | safe }},则会在您的HTML中嵌入一个html标签(<html>),并且我希望HTML浏览器解析器将其忽略为错误(您可以检查渲染的页面源)。但是调用{{ form.name.data }} jinja2将转义'<>'字符,只有'html'进入HTML并因此呈现为文本。
我强烈建议您不要在用户输入中使用安全过滤器,因为任意用户都可以将代码注入到您的网页中,例如<script> ... </script>
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?