我正在为Flask和SQLAlchemy构建一个管理,我想通过使用render_template将不同输入的HTML传递给我的视图。模板框架似乎自动转义HTML,因此所有<"'>字符都转换为HTML实体。我如何禁用它,以使HTML正确呈现?
当前回答
从Jinja文档部分HTML转义:
当启用自动转义时,默认情况下所有内容都会被转义 除了显式标记为安全的值。它们可以是 由应用程序或模板中使用|保险箱标记 过滤器。
例子:
<div class="info">
{{data.email_content|safe}}
</div>
其他回答
有些人似乎关闭了带有安全风险的自动转义来操作字符串显示。
如果你只想在字符串中插入一些换行符,并将换行符转换为<br />,那么你可以像这样使用jinja宏:
{% macro linebreaks_for_string( the_string ) -%}
{% if the_string %}
{% for line in the_string.split('\n') %}
<br />
{{ line }}
{% endfor %}
{% else %}
{{ the_string }}
{% endif %}
{%- endmacro %}
在模板中调用with
{{ linebreaks_for_string( my_string_in_a_variable ) }}
当你有很多不需要转义的变量时,你可以使用autoescape重写块:
{% autoescape false %}
{{ something }}
{{ something_else }}
<b>{{ something_important }}</b>
{% endautoescape %}
从Jinja文档部分HTML转义:
当启用自动转义时,默认情况下所有内容都会被转义 除了显式标记为安全的值。它们可以是 由应用程序或模板中使用|保险箱标记 过滤器。
例子:
<div class="info">
{{data.email_content|safe}}
</div>
MarkupSafe提供了Jinja的自动转义行为。您可以导入Markup并使用它从代码中声明一个HTML安全值:
from markupsafe import Markup
value = Markup('<strong>The HTML String</strong>')
把它传递给模板,你不必对它使用|安全过滤器。
为了特别处理换行符,我尝试了许多选项,最后选择了这个:
{% set list1 = data.split('\n') %}
{% for item in list1 %}
{{ item }}
{% if not loop.last %}
<br/>
{% endif %}
{% endfor %}
这种方法的优点是它与自动转义兼容,使一切都保持良好和安全。它还可以与过滤器结合使用,比如urlize。
当然,这与Helge的答案相似,但不需要宏(而是依赖于Jinja内置的split函数),也没有在最后一项后添加不必要的<br/>。
推荐文章
- 将Pandas或Numpy Nan替换为None以用于MysqlDB
- 使用pandas对同一列进行多个聚合
- 使用Python解析HTML
- django MultiValueDictKeyError错误,我如何处理它
- 如何在for循环期间修改列表条目?
- 我如何在Django中创建一个鼻涕虫?
- 没有名为'django.core.urlresolvers'的模块
- 蟒蛇导出环境文件
- Django - makemigrations -未检测到任何更改
- SQLAlchemy:引擎、连接和会话差异
- 在Python Pandas中删除多个列中的所有重复行
- 更改pandas DataFrame中的特定列名
- 将Pandas多索引转换为列
- 熊猫在每组中获得最高的n个记录
- 熊猫数据帧得到每组的第一行