那些遇到过的问题

django安全的自动关闭?

Joe*_*Joe 3 django templates

我想在django 1.0模板中显示一些html,为此,我一直在做这样的事情:

{% autoescape off %}{{ var.text }}{% endautoescape %}
Run Code Online (Sandbox Code Playgroud)

而我只是想知道这有多安全?我是否仍然可以防止SQL注入和跨站点脚本以及其他类似的漏洞?

===编辑=======

这个文本将来自用户,那么在django模板中安全地显示html的最佳方法是什么?

Tod*_*ner 9

autoescape将防止跨站点脚本,而不是sql注入(您需要确保您的输入被清除).关闭autoescape意味着你相信"文本"中的内容,无论它来自何处,都不是恶意的(即,用户不可能创建或修改文本中的内容).如果该假设有效,那么您可以安全地反对跨站点脚本,否则,这是一个安全漏洞.

mar*_*rcc 6

不,当您在模板引擎中将HTML标记为安全时,您将负责确保渲染是安全的.

此外,您可以通过更改来简化(缩短)您的代码

{% autoescape off %}
    {{ var.text }}
{% endautoescape %}
Run Code Online (Sandbox Code Playgroud) 

{{ var.text|safe }}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7125 次

最近记录:

15 年,12 月 前
相关归档
为什么django ORM的`save`方法不返回保存的对象? 35
Django MiddleWare订购的实用规则? 28
为什么使用Django的collectstatic而不是直接从静态目录提供文件? 18
为什么在此上下文中无法推导出模板参数? 16
抽象基类的Django模型字段 14
带FileField的Django模型 - 动态'upload_to'参数 12
Django formset - 仅在没有初始数据集时显示额外字段? 11
Django 1.4未知命令:'runserver' 11
django blocktrans和模板中的i18n 10
芹菜任务消失了 8
难疑归档
从脚本本身获取Bash脚本的源目录 4672
如何从SQL Server中的SELECT更新? 3546
如何列出提交中的所有文件? 2619
重命名pandas中的列 1601
使用jQuery将表单数据转换为JavaScript对象 1580
每位程序员应阅读的最具影响力的单一书籍是什么? 1439
检索HTML元素的位置(X,Y) 1418
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
用PHP清理用户输入的最佳方法是什么? 1069
如何在Ruby on Rails中获取当前的绝对URL? 1030