我需要将HTML代码传递给messages,并且正在使用模板。
为了让HTML工作,我在模板中将邮件标记为安全:
{{message | safe}}
然而,当我在消息中显示用户生成的内容时,这让我受到攻击。例如:
messages.success(请求,“太棒了! \“%s \”现在处于有效状态。“%user_toy”
如果用户生成了user_toy,则HTML将不会转义。我该如何解决这个问题?
答案 0 :(得分:0)
我可以使用escape中的django.utils.html来解决此问题:
来自django.utils.html导入转义
messages.success(请求,“太棒了! \“%s \”现已生效。“% 逸出(user_toy))