在文档中说:
唯一的例外是已经标记为“安全”的变量,无论是通过填充变量的代码,还是因为它已经应用了安全或转义过滤器。“
“填充变量”部分如何工作?我实际上正在寻找一种方法来在视图中声明模板标签是安全的。我不知何故认为让设计师决定不是一个好主意。只要她认为这是个好主意,我的同事就会添加它。
https://docs.djangoproject.com/en/dev/ref/templates/builtins/?from=olddocs
答案 0 :(得分:22)
Django有一个字符串的子类,名为 safe 字符串(具体为SafeUnicode
或SafeString
),可以使用django.utils.safestring.mark_safe
创建。当模板引擎遇到安全字符串时,它不会对其执行HTML转义:
>>> from django.utils.safestring import mark_safe
>>> from django.template import Template, Context
>>> Template("{{ name }}").render(Context({'name': mark_safe('<b>Brad</b>')}))
u"<b>Brad</b>"
如果您正在编写自己的模板标记,则需要实现render()
,它将返回一个被视为安全的字符串,这意味着您必须自己处理任何必要的转义。但是,如果您正在编写模板过滤器,则可以在过滤器上设置属性is_safe = True
,以避免自动转义返回的值,例如
@register.filter
def myfilter(value):
return value
myfilter.is_safe = True
有关详细信息,请参阅https://docs.djangoproject.com/en/1.3/howto/custom-template-tags/#filters-and-auto-escaping。
答案 1 :(得分:5)
您可以致电django.utils.safestring.mark_safe
并传递变量
...
return direct_to_template('my-template.html', {'safe_var': mark_safe('<script>alert("");</script>')})
在模板中,它将被打印而不会转义(将弹出警报)。虽然自动转义确实是一个很好的功能,可以帮助你避免一些不好的事情。