jinjia2-HTML 转义

当从模板生成 HTML 时,始终有这样的风险:变量包含影响已生成 HTML 的字符。有两种 解决方法:手动转义每个字符或默认自动转义所有的东西。

Jinja 两者都支持,使用哪个取决于应用的配置。默认的配置未开启自动转义有这样几个 原因:

  • 转义所有非安全值的东西也意味着 Jijna 转义已知不包含 HTML 的值,比如数字,对 性能有巨大影响。
  • 关于变量安全性的信息是易碎的。可能会发生强制标记一个值为安全或非安全的情况, 而返回值会被作为 HTML 转义两次。

使用手动转义

如果启用了手动转义,按需转义变量就是 你的 责任。要转义什么?如果你有 一个 可能包含 > 、 < 、 & 或 " 字符的变量,你必须转义 它,除非变量中的 HTML 有可信的良好格式。转义通过用管道传递到过滤器 |e 来实现: {{ user.username|e }} 。

使用自动转义

当启用了自动转移,默认会转移一切,除非值被显式地标记为安全的。可以在应用中 标记,也可以在模板中使用 |safe 过滤器标记。这种方法的主要问题是 Python 本 身没有被污染的值的概念,所以一个值是否安全的信息会丢失。如果这个信息丢失, 会继续转义,你最后会得到一个转义了两次的内容。

但双重转义很容易避免,只需要依赖 Jinja2 提供的工具而不使用诸如字符串模运算符 这样的 Python 内置结构。

返回模板数据(宏、 super 、 self.BLOCKNAME )的函数,其返回值总是被标记 为安全的。

模板中的字符串字面量在自动转义中被也被视为是不安全的。这是因为安全的字符串是 一个对 Python 的扩展,而不是每个库都能妥善地使用它。

时间: 2024-12-13 13:52:25

jinjia2-HTML 转义的相关文章

Flask 学习系列(三)---Jinjia2使用过滤器

再Jinjia2中过滤器是一种转变变量输出内容的技术.··过滤器通过管道符号"|与变量链接,并且可以通过圆括号传递参数" .举例说明: {{my_variable|default('my_variable is not defined')}} my_variable 为变量,default为过滤器,my_variable is not defined是过滤器的参数.default过滤器的含义是:判断被转换的变量是否被定义过,如果没有被定义,则用字符串参数替换被转换的变量. 下面列出几个

避免shell脚本SQL语句中 *输出时转义

脚本test.sh内容如下,在 /home/myname/下执行该脚本, 家目录下有文件a.txt,test.log,test.sh #!/bin/bash sql="select * from emp;" echo $sql echo $sql > test.log 执行后结果: select test.sh a.txt test.log from emp; 如何能让sql中的*不转义? 修改为如下: #!/bin/bashsql="select * from emp

Backbone 模板 underscore template默认的转义符&lt;%= %&gt; 与jsp的冲

先定义转义符,因为默认的转义符<%= %> 与jsp的冲突(如果js模板写在jsp页面中)       _.templateSettings = { interpolate : /\{\{(.+?)\}\}/g }; 下面就可以这样写 <script type="text/template" id="detailedBar-template"> <div class='title'> <span class='label'&

利用js将图片地址进行转义

在业务中经常需要将图片从后台获取,然后在前台显示.其中后台存取图片主要分为两种,一种是数据库中获取图片的地址,第二种是存取图片内容的信息.这次主要是前台代码处理第一种情况.数据库存取的是地址,然后根据前台规则,将图片所在的地址进行转义. 主要代码如下: 1 function test(){ 2 var x = "img/2.jpg"; 3 var arr = x.split(""); 4 for(var i=0;i<arr.length;i++){ 5 if(

javascript对HTML的特殊字符的转义与反转义

有时候,我们所查询得到的数据包含有HTML的标签,当我们不希望浏览器解析该标签的时候,我们可以对">""<"进行转义,下面来介绍,"<"">"如何与">""<"进行转义和反转义. //HTML转义  function HTMLEncode(html) {         var temp = document.createElement ("

转义符

前段时间学的知识,为免忘记,一点点整理. 转义符 代表的意义 \" 双引号 \' 单引号 \n 换行符 \t 制表符(相当于按下了Tab键) \\ 斜杠\ 在代码中书写一个斜杠(\)用于改变\后出现字符的意义. " " 代表字符串的开始和结束. \" 普通的双引号字符. 例: Tom said:" Hello !" Console.Write("Tom said :\"Hello!\" ") \t 制表符 例: 你 好 (相当于按下了Tab键) Console.Writeli

【python】正则表达式中的转义问题

encode('string-escape') 解决 比如想匹配'\x0e\x0a'中的'\x'后的内容,这里希望把'\x0e'作为一个字符串,那么其中的\应该被转义. 未加转义的正则: p = '(?<=\x)[0-9A-Za-z]{2}' 直接这样写会报错,需要给\转义,于是变为 p = '(?<=\\x)[0-9A-Za-z]{2}' 但由于使用的时候,会先将p的内容转义,然后匹配,所以又变成了\x和原始数据匹配,又会出错.解决: p = '(?<=\\x)[0-9A-Za-z]{

php 自带的过滤函数和转义函数

函数名 释义 介绍 htmlspecialchars 将与.单双引号.大于和小于号化成HTML格式 &转成&"转成"' 转成'<转成<>转成> htmlentities() 所有字符都转成HTML格式 除上面htmlspecialchars字符外,还包括双字节字符显示成编码等. addslashes 单双引号.反斜线及NULL加上反斜线转义 被改的字符包括单引号 (').双引号(").反斜线 backslash (\) 以及空字符NUL

DotNet的字符转义操作

在项目中使用到字符的转义,现在提供一种字符转义和反转义的操作方法: 1.转义符操作:         /// <summary>         /// 转义符操作         /// </summary>         /// <param name="s"></param>         /// <param name="charToEliminate"></param>      

phalcon: 上下文转义

Phalcon\Escaper 转义特殊的字符 一:字符转义 $maliciousTitle = '</title><script>alert(1)</script>'; $e = new Phalcon\Escaper(); echo $e->escapeHtml($maliciousTitle) 最不安全的情形即是在html标签中插入非安全的数据 我们可以使用escapeHtml方法对这些文本进行转义: $e->escapeHtml('></