Chuỗi thoát cho JavaScript bằng Jinja2?

Question

Làm cách nào để thoát HTML bằng Jinja2 để nó có thể được sử dụng như một chuỗi trong JavaScript (jQuery)?

Nếu tôi được sử dụng hệ thống khuôn mẫu của Django tôi có thể viết:

$("#mydiv").append("{{ html_string|escapejs }}"); 

của Django |escapejs filter sẽ thoát khỏi mọi thứ trong html_string (ví dụ như báo giá, ký tự đặc biệt) có thể phá vỡ các mục đích sử dụng của khối mã này, nhưng Jinja2 làm dường như không có bộ lọc tương đương (tôi có sai ở đây không?).

Có giải pháp nào sạch hơn là sao chép/dán mã từ Django không?

Answer 1

Tôi đã gặp phải sự cố tương tự vào năm ngoái. Không chắc chắn liệu bạn có đang sử dụng bottle hay không, nhưng giải pháp của tôi trông giống như thế này.

import json 

def escapejs(val): 
    return json.dumps(str(val)) # *but see [Important Note] below to be safe 

@app.route('/foo') 
def foo(): 
    return bottle.jinja2_template('foo', template_settings={'filters': {'escapejs': escapejs}}) 

(Tôi quấn template_settings dict trong một hàm helper kể từ khi tôi sử dụng nó ở khắp mọi nơi, nhưng tôi giữ nó đơn giản trong ví dụ này).

Thật không may, nó không đơn giản như một bộ lọc jinja2 dựng sẵn, nhưng Tôi đã có thể sống với nó một cách hạnh phúc - đặc biệt là xem xét rằng tôi đã có một số bộ lọc tùy chỉnh khác để thêm, quá.

Lưu ý quan trọng: Mẹo dành cho @ medmunds để nhận xét tuyệt vời của mình bên dưới, nhắc nhở chúng tôi rằng json.dumps không phải là XSS an toàn. IOW, bạn sẽ không muốn sử dụng nó trong một máy chủ sản xuất với Internet. Khuyến nghị là viết một safer json escape routine (hoặc ăn cắp của django - xin lỗi OP, tôi biết bạn đã hy vọng để tránh điều đó) và gọi đó thay vì sử dụng json.dumps.

Answer 2

Bạn cũng có thể sử dụng số autoescape của jinja2. Vì vậy, ví dụ, bạn có thể thêm autoescape tới Môi trường jinja2 của bạn bằng Python:

JINJA_ENVIRONMENT = jinja2.Environment(
    loader=jinja2.FileSystemLoader(os.path.dirname(__file__)), 
    autoescape=True) 

Ngoài ra, bạn có thể sử dụng mở rộng Autoescape thêm vào trong Jinja 2.4 có quyền kiểm soát nhiều hơn vị trí các autoescaping được sử dụng trong HTML. Thông tin thêm về số điện thoại here và ví dụ này (trong Google App Engine) here.

Python:

JINJA_ENVIRONMENT = jinja2.Environment(
    loader=jinja2.FileSystemLoader(os.path.dirname(__file__)), 
    extensions=['jinja2.ext.autoescape']) 

HTML:

{% autoescape true %} 
    <html> 
     <body> 
      {{ IWillBeEscaped }} 
     </body> 
    </html> 
{% endautoescape %} 

Answer 3

Đây là một bộ lọc escapejs, dựa trên Django của một người, mà tôi đã viết để sử dụng trong Jinja2 mẫu:

_js_escapes = { 
     '\\': '\\u005C', 
     '\'': '\\u0027', 
     '"': '\\u0022', 
     '>': '\\u003E', 
     '<': '\\u003C', 
     '&': '\\u0026', 
     '=': '\\u003D', 
     '-': '\\u002D', 
     ';': '\\u003B', 
     u'\u2028': '\\u2028', 
     u'\u2029': '\\u2029' 
} 
# Escape every ASCII character with a value less than 32. 
_js_escapes.update(('%c' % z, '\\u%04X' % z) for z in xrange(32)) 
def jinja2_escapejs_filter(value): 
     retval = [] 
     for letter in value: 
       if _js_escapes.has_key(letter): 
         retval.append(_js_escapes[letter]) 
       else: 
         retval.append(letter) 

     return jinja2.Markup("".join(retval)) 
JINJA_ENVIRONMENT.filters['escapejs'] = jinja2_escapejs_filter 

Ví dụ sử dụng an toàn trong một mẫu:

<script type="text/javascript"> 
<!-- 
var variableName = "{{ variableName | escapejs }}"; 
… 
//--> 
</script> 

Khi variableName là str hoặc unicode.

Answer 4

tôi chỉ nghiên cứu vấn đề này, giải pháp của tôi là để xác định một bộ lọc:

from flask import Flask, Markup 
app = Flask(__name__) 
app.jinja_env.filters['json'] = lambda v: Markup(json.dumps(v)) 

và trong mẫu:

<script> 
var myvar = {{myvar|json}} ; 
</script> 

này có tính năng tốt đẹp mà myvar có thể bất cứ điều gì có thể được JSON-serialized

Câu hỏi mới nhất

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.

 Các vấn đề liên quan

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.