4 回答

TA貢獻1825條經驗 獲得超6個贊
Django 的模板引擎會自動轉義,所以你真的不需要轉義。
如果你像 {{article.description|safe}} 這樣添加模板過濾器“安全”,那么你確實需要擔心諸如 html 注入之類的事情,因為“安全”將字符串標記為這樣,這意味著它不會被轉義。
還有一個 {% autoescape on %}...{% endautoescape %} 模板標簽,如果需要,可以將其中的“on”更改為“off”。默認情況下它是打開的,并且不需要標簽。
其他模板引擎可能默認不會轉義,Jinja2 就是其中之一。

TA貢獻1951條經驗 獲得超3個贊
默認情況下,Django 自動轉義模板變量的輸出以避免跨站點腳本。如果要呈現未轉義的字符串,則可以使用safe過濾器或模板塊autoescape,如下所示:
{{ var|safe }}
或者
{% autoescape off %}
{{ var }}
{% endautoescape %}

TA貢獻1853條經驗 獲得超18個贊
將安全過濾器添加到您的 html 模板 var。Django 自動轉義 html 以防止 html 注入。您可以通過添加 |safe 來“關閉它”。例如:
<div> {{ article.description|safe }} </div>

TA貢獻2065條經驗 獲得超14個贊
Django 模板處理器正在轉義模型中的 HTML 語法。我認為您需要包含此標頭標記才能使您的 tinyMCE 應用程序正常工作。它是一些可能呈現 HTMLField 的 javascript 代碼。
<head>
...
{{ form.media }}
</head>
添加回答
舉報