如何防止Django模板中的自动转义?

时间:2012-01-08 02:21:58

标签: python django templates escaping

在文档中说:

  

唯一的例外是已经标记为“安全”的变量,无论是通过填充变量的代码,还是因为它已经应用了安全或转义过滤器。“

“填充变量”部分如何工作?我实际上正在寻找一种方法来在视图中声明模板标签是安全的。我不知何故认为让设计师决定不是一个好主意。只要她认为这是个好主意,我的同事就会添加它。

https://docs.djangoproject.com/en/dev/ref/templates/builtins/?from=olddocs

2 个答案:

答案 0 :(得分:22)

Django有一个字符串的子类,名为 safe 字符串(具体为SafeUnicodeSafeString),可以使用django.utils.safestring.mark_safe创建。当模板引擎遇到安全字符串时,它不会对其执行HTML转义:

>>> from django.utils.safestring import mark_safe
>>> from django.template import Template, Context
>>> Template("{{ name }}").render(Context({'name': mark_safe('<b>Brad</b>')}))
u"<b>Brad</b>"

如果您正在编写自己的模板标记,则需要实现render(),它将返回一个被视为安全的字符串,这意味着您必须自己处理任何必要的转义。但是,如果您正在编写模板过滤器,则可以在过滤器上设置属性is_safe = True,以避免自动转义返回的值,例如

@register.filter
def myfilter(value):
    return value
myfilter.is_safe = True

有关详细信息,请参阅https://docs.djangoproject.com/en/1.3/howto/custom-template-tags/#filters-and-auto-escaping

答案 1 :(得分:5)

您可以致电django.utils.safestring.mark_safe并传递变量

...
return direct_to_template('my-template.html', {'safe_var': mark_safe('<script>alert("");</script>')})

在模板中,它将被打印而不会转义(将弹出警报)。虽然自动转义确实是一个很好的功能,可以帮助你避免一些不好的事情。