Django自定义过滤器中is_safe和need_autoescape两个参数的理解

自定义template过滤器的方法参考文档,不再赘述

is_safe

文档说明过滤的两种最终形态,其中一种是设置register.filter(is_safe=True),但是对is_safe的具体作用说的云山雾绕的,而查了些博文只是简单的说is_safe可以关闭掉自动转义(这个说法是错误的!)

我尝试了加或者不加is_safe的效果

@register.filter
def demo(value):
    return '<br>' + value

@register.filter(is_safe=True)
def demo(value):
    return '<br>' + value

<li> {{ text|demo}} </li>

结果就是都对过滤器返回的结果进行了转义!

后来发现重点在于文档中的这一句话:

This flag tells Django that if a “safe” string is passed into your filter, the result will still be “safe” and if a non-safe string is passed in, Django will automatically escape it, if necessary.

这个标志告诉Django 如果"安全"的字符串传递到您的过滤，结果仍将是"安全"，如果一个非安全字符串传递，如果必要Django 会自动转义它。

重点在于"安全",也就是文档中提到的SafeData类型.文档中有提到'某些正常的字符串操作会将SafeData对象转换成普通的str或unicode对象,Django的过滤器在完成之后会修复这种破坏,并且很困难'.

这才是is_safe的意义所在:如果传入的value已经是SafeData对象,is_safe会告诉Django当前过滤器输出的数据不再需要转义.

至于SafeData类型数据的来源,我暂时只知道mark_safe()函数会返回SafeData对象.

from django.utils.safestring import mark_safe

@register.filter()
def to_safe(value):
    return mark_safe(value)

@register.filter(is_safe=True)
def demo(value):
    return '<br>' + value

<li> {{ test|to_safe|demo }} </li>

这样的情况,demo过滤器接收到一个SafeData对象,其结果不会再转义(<br>换行符起作用了).

need_autoescape

如果在注册过滤器时添加了need_autoescape=True,那么过滤器必须接收一个autoescape参数,这样过滤器会捕捉其引用位置的自动转义是否开启,以决定你在过滤器中的行为.

引用下文档中的栗子:

@register.filter(needs_autoescape=True)
def initial_letter_filter(text, autoescape=True):
    first, other = text[0], text[1:]
    if autoescape:
        esc = conditional_escape
    else:
        esc = lambda x: x
    result = '<strong>%s</strong>%s' % (esc(first), esc(other))
    return mark_safe(result)

该过滤器的输出通过mark_safe()函数标记为"安全",这样可以保证在过滤器中引入的HTML标签可以实现.但是同样要考虑输入的安全问题.如果模板中autoescape是开启的,说明我们已经认定这部分的数据是存在威胁的,所以需要在过滤器中手动对输入数据进行转义来保证其安全性.