我们知道,自动转义的概念是自动转义特殊字符。例如HTML (或 XML ,因此也有 XHTML )意义下的特殊字符是 & , > , < , " 以及 ' ,但是因为这些字符在文档中表示它们特定的含义,如果我们想在文本中使用它们,就应该把它们替换成相应的“实体”。不这么做不仅会导致用户疲于在文本中使用这些字符,也会导致安全问题。
所以,我们有时会需要在模板中禁用自动转义,例如在页面中显式地插入 HTML , 可以是一个来自于 markdown 到 HTML 转换器的安全输出。
咱们来看几种可行的解决方案:
- 在传递到模板之前,用 Markup 对象封装 HTML字符串。一般推荐这个方法。
- 在模板中,使用 |safe 过滤器显式地标记一个字符串为安全的 HTML ( {{ myvariable|safe }} )。
- 临时地完全禁用自动转义系统。
在Jinja2模板中禁用自动转义系统,可以使用 {%autoescape %} 块 ,来看下代码块儿:
{% autoescape false %}
<p>autoescaping is disabled here
<p>{{ will_not_be_escaped }}
{% endautoescape %}无论何时,我们都必须得格外小心这里的变量啊。
好啦,本次记录就到这里了。
如果感觉不错的话,请多多点赞支持哦。。。