溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
一、需求來源:
如果用戶在文本框中填了一段<script>alert(xxx);</script>代碼,然后我們還保存在了數據庫中,下次模板加載數據的時候,將這段代碼顯示在瀏覽器,將會彈出一個警告框。因此,這是XSS(跨域腳本)攻擊的一種方式,我們肯定不能允許這種事件發生,因此django默認給我們啟動了自動轉意的功能。將這段代碼轉換成普通的文本進行展示。
二、如何關閉:
你肯定會問既然自動轉意可以關閉XSS漏洞為什么需要關閉呢?原因很簡單,如果你數據庫中保存了一段可信任的HTML代碼,那么你肯定想將他插在頁面文檔中,這時候你肯定不想被當成字符串處理。這時候你就可以針對某些模塊進行關閉,django提供了兩種方式進行關閉:
對單獨的變量,用safe過濾器為單獨的變量關閉自動轉意,比如:
這個data將會被轉意:{{ data }}
這個data不會被轉意:{{ data|safe }}
對模板塊,可以使用autoescape進行統一管理,他有兩個參數off和on分別用來關閉和打開自動轉意,比如以下代碼關閉一整段代碼的自動轉意:
{% autoescape off %}
name: {{ name }}
age: {{ age }}
{% endautoescape %}
以下代碼先關閉自動轉意再打開自動轉意功能:
Auto-escaping is on by default. Hello {{ name }}
{% autoescape off %}
This will not be auto-escaped: {{ data }}.
Nor this: {{ other_data }}
{% autoescape on %}
Auto-escaping applies again: {{ name }}
{% endautoescape %}
{% endautoescape %}
注意事項:autoescape標簽的作用域不僅可以影響到當前模板還可以通過include標簽以及block標簽影響到其他的模板。這個一定要切記!
三:過濾器參數里的字符串常量的自動轉意:
{{ data|default:"no data" }}
分析以上代碼,如果視圖函數提供了data數據,則會顯示data,如果沒有提供,則默認會顯示no data。如果你要默認顯示帶有/,<,",',&也不會進行轉意,因此如果你要顯示3<1這樣帶有特殊字符的,將對html文檔產生結構上的影響。但是你可以通過3<1這種方式,進行轉意輸出。
以上這篇django中模板的html自動轉意方法就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持億速云。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
