làm cách nào để tôi loại bỏ html khỏi đầu vào không an toàn nguy hiểm trong jinja2?jinja2: biến số thoát html
Tôi có thể làm điều đó bên trong mẫu hoặc phải được thực hiện trong mã python không?
Tôi có một biến có thể chứa các ký tự da <ngero> u & s. Làm cách nào để thoát khỏi nó trong jinja2
ví dụ:
{{ user.username|e }}
ống nó qua bộ lọc |e
Jinija: Template Designer Documentation -> Builtin Filters: Escape
Bạn cũng có thể nói môi trường để autoescape tất cả mọi thứ:
e = Environment(loader=fileloader, autoescape=True)
lưu ý: trong jinja1 đây là auto_escape
Nếu bạn muốn thoát khỏi html trong yo chương trình ur, bạn có thể làm điều đó như thế này (ví dụ):
>>> import jinja2
>>> jinja2.__version__
'2.6'
>>> a
'<script>alert("yy")</script>'
>>> jinja2.escape(a)
Markup(u'<script>alert("yy")</script>')
>>> str(jinja2.escape(a))
'<script>alert("yy")</script>'
Flask đã tích hợp sẵn trong tojson lọc:
Trên liên kết bị phá vỡ, sử dụng http://jinja.pocoo.org/docs/templates /? highlight = pipe% 20safe # html-escape –
Và chia nhỏ lại http://jinja.pocoo.org/docs/dev/templates/#builtin-filters – silpol