我想知道python的json.dumps方法的输出是否可以安全地直接呈现到html / js脚本中而不进行转义。
my_dict = {...}
my_dict_json_str = json.dumps(my_dict)
然后呈现它
<script>
var my_dict = {{my_dict_json_str}};
</script>
这是每次工作还是有一些字符会破坏它?
答案 0 :(得分:3)
json.dumps在没有适当转义的情况下使用html是不安全的。
>>> json.dumps({"one": "</script>"})
'{"one": "</script>"}'
此行为可能会破坏您的html。