我正在为Flask和SQLAlchemy构建一个管理,我想通过使用render_template将不同输入的HTML传递给我的视图。模板框架似乎自动转义HTML,因此所有<"'>字符都转换为HTML实体。我如何禁用它,以使HTML正确呈现?
当前回答
在模板中使用安全过滤器,然后在视图中使用bleach库对HTML进行消毒。使用漂白剂,您可以将需要使用的HTML标记列入白名单。
据我所知,这是最安全的。我尝试了安全过滤器和Markup类,这两种方法都允许我执行不需要的JavaScript。不太安全!
其他回答
若要在呈现值时关闭自动转义,请使用|安全过滤器。
{{ something|safe }}
只对您信任的数据执行此操作,因为呈现不受信任的数据而不转义是跨站点脚本漏洞。
MarkupSafe提供了Jinja的自动转义行为。您可以导入Markup并使用它从代码中声明一个HTML安全值:
from markupsafe import Markup
value = Markup('<strong>The HTML String</strong>')
把它传递给模板,你不必对它使用|安全过滤器。
从Jinja文档部分HTML转义:
当启用自动转义时,默认情况下所有内容都会被转义 除了显式标记为安全的值。它们可以是 由应用程序或模板中使用|保险箱标记 过滤器。
例子:
<div class="info">
{{data.email_content|safe}}
</div>
当你有很多不需要转义的变量时,你可以使用autoescape重写块:
{% autoescape false %}
{{ something }}
{{ something_else }}
<b>{{ something_important }}</b>
{% endautoescape %}
在模板中使用安全过滤器,然后在视图中使用bleach库对HTML进行消毒。使用漂白剂,您可以将需要使用的HTML标记列入白名单。
据我所知,这是最安全的。我尝试了安全过滤器和Markup类,这两种方法都允许我执行不需要的JavaScript。不太安全!
推荐文章
- Python dataframe pandas使用int删除列
- 使用os.walk()在Python中递归遍历目录
- 在Python中,什么时候“i += x”与“i = i + x”不同?
- Python Flask,如何设置内容类型
- 删除字符串中的字符列表
- 当你的应用程序有一个tests目录时,在Django中运行一个特定的测试用例
- 如何合并一个透明的png图像与另一个图像使用PIL
- 使用散射数据集生成热图
- python:将脚本工作目录更改为脚本自己的目录
- 如何以编程方式获取python.exe位置?
- 如何跳过循环中的迭代?
- 使用Pandas为字符串列中的每个值添加字符串前缀
- ImportError:没有名为matplotlib.pyplot的模块
- 在python中遍历对象属性
- 如何在Python中使用方法重载?