7
Si tengo un recuadro donde la gente pone comentarios, y luego despliego ese comentario como este ... ¿debería escapar?¿Cuándo debo usar escape y safe en el sistema de plantillas de Django?
{{ c.title }}
A
Respuesta
14
En realidad, depende. El motor de plantillas de Django escapa automáticamente, por lo que realmente no necesitas escapar.
Si agrega el filtro de plantilla "seguro" como {{c.title|safe}}, entonces debe preocuparse por cosas como la inyección html, porque "seguro" marca la cadena como tal y significa que no se escapará.
También hay una etiqueta de plantilla {% autoescape en%} ... {% endautoescape%}, donde "on" se puede cambiar a "off", si es necesario. Por defecto está activado y la etiqueta no es necesaria.
Es posible que otros motores de plantillas no escapen por defecto, Jinja2 es uno de ellos.
2
Sí! ¿Qué pasa si ingresaron <script>alert('boom');</script> como título?
Django autoescape hace esto mucho más fácil.
+0
Por lo tanto, debería escapar? ¿Qué tal "seguro"? – TIMEX
1
Auto-escaping está activado por defecto en las plantillas django, por lo que no necesita utilizar escape. Safe se usa cuando desea apagarlo y le permite al sistema de representación de la plantilla saber que su fecha es segura en una forma no escapada. Consulte la documentación de Django para más detalles:
3
HTML auto-escape está activado por defecto, por lo que no es necesario para escapar de forma manual en la mayoría de los casos, pero no todos !
Dumping el contenido de una variable dentro de un elemento HTML está muy bien:
<p>{{ variable }}</p>
Django escapará automáticamente los caracteres <, >, &, " y ', que es lo que se necesita aquí.
También está bien para volcar una variable dentro de un atributo, ya que " y ' son ambos escaparon, pero asegúrese de que no olvide incluir cotizaciones, como espacios no se escaparon:
<span class="{{ variable }}">...</span> <!-- Good -->
<span class={{ variable }}>...</span> <!-- Bad -->
Si desea utilizar una cadena dentro de Javascript en línea, debe usar el filtro escapejs, y no olvide las comillas. Esto protege tanto contra escapar de las cotizaciones para la variable de Javascript, y escapar de la etiqueta <script> usando </script>:
<script>
var value = "{{ variable|escapejs }}";
</script>
+0
Ahhhhhhh. 'escapejs' era el que estaba buscando. No pude encontrar esto en ninguna parte – Sevenearths
Cuestiones relacionadas
- 1. Sistema de plantillas tipo Django para Java?
- 2. Cuándo usar el sistema() y cuándo usar execv *()?
- 3. plantillas de Django escapar
- 4. ¿Cuándo debo usar adornos?
- 5. ¿Cuándo debo usar cuaterniones?
- 6. ¿Cuándo debo usar malloc en C y cuándo no?
- 7. Cuándo y dónde debo usar WCF
- 8. Mejores prácticas: atributo XML vs elemento XML: ¿cuándo debo usar elementos y cuándo debo usar atributos?
- 9. Django cuándo usar el método de desmontaje
- 10. ¿Cuándo debo usar los hilos?
- 11. ¿Cuándo debo usar los botones de radio?
- 12. {% include%} vs {% extends%} en plantillas de django
- 13. ¿Cuándo debo usar dispose() en los gráficos?
- 14. ¿Cuándo/debo usar __construct(), __get(), __set() y __call() en PHP?
- 15. Sistema de plantillas para Python y Javascript?
- 16. Cuándo usar undef_method, y cuándo usar remove_method?
- 17. Almacenamiento y escape de etiquetas y filtros de Django en los modelos Django
- 18. django: ¿cuándo debería usar media_root o static_root?
- 19. Cuándo usar Pepino y cuándo usar RSpec?
- 20. Objetos de C++: ¿Cuándo debo usar el puntero o referencia
- 21. ¿Cuándo debo usar print en lugar de echo en PHP?
- 22. ¿Cuándo (si es el caso) debo usar Bitmap.recycle()?
- 23. ¿Cuándo debería usar Sql Azure y cuándo debo usar Table Storage?
- 24. Cuándo usar los motores de plantillas de JavaScript?
- 25. ¿ARC me dirá cuándo debo usar __block?
- 26. ¿Cuándo debería usar TCP_NODELAY y cuándo TCP_CORK?
- 27. Cuándo usar dup, y cuándo usar clon en Ruby?
- 28. ¿Reutilizando plantillas de django?
- 29. ¿Cuándo debo usar un UserControl en lugar de una página?
- 30. ¿Cuándo debo usar los procedimientos almacenados?
¿Cuál es la diferencia entre {{c.title}} y {{c.title | escape}}, si Django ya escapa automáticamente? – TIMEX
Siempre se puede controlar el autoescaping con: {% autoescape en%} {{ cuerpo}} {% endautoescape%} Aquí el filtro de escape podría ser utilizado para escapar selectivamente – zsquare