10：django 模板语言

Django的模板语言的目的是取得力量和易用性之间的平衡，与其他的模板语言相比，django模板语言显得更简单，更专一，

django模板系统由模板，变量，过滤器，标签，注释等主要部分组成

模板

一个模板是一个简单的文本文件，它可以生成任何基于文本的格式，html，csv，xml等等

模板里面包含变量，过滤器，标签和注释，下面是一个简单的模板文件

{% extends "base_generic.html" %}
{% block title %}{{ section.title }}{% endblock %}
{% block content %}
<h1>{{ section.title }}</h1>
{% for story in story_list %}
<h2>
  <a href="{{ story.get_absolute_url }}">
    {{ story.headline|upper }}
  </a>
</h2>
<p>{{ story.tease|truncatewords:"100" }}</p>
{% endfor %}
{% endblock %}

变量

变量格式：{{ variable }}

变量解析：当模板引擎碰到一个变量的时候，会计算变量然后用结果去代替他

变量的命名：字母数字和下划线的组合，.（点号）不可用，因为点号有特殊的意义

如果变量不存在的时候，{{variable}}会被解析为''（一个空字符串）

过滤器

修改变量的展示方式

格式：{{ variable|filter }}，展示变量经过filter后的结果，例如{{ name|lower }}战术name的小写形式，|是管道

filter可以串联，例如{{ text|escape|linebreaks }}

filter可以有参数，用冒号表示，例如 {{ bio|truncatewords:30 }}

filter参数如果有空格，必须用引号括起来，例如：{{ list|join:", " }}

django有很多内建的过滤器，我们下一节再讲，因为有30个之多，足以成一节了

标签

标签比变量和过滤器要复杂的多，有些是在输出上产生内容，有些是控制文本流（通过循环和逻辑），还有一些是加载外部的一些内容进入模板

格式：{% tag %}

标签基本都是成对出现的，如：{% tag %} ... tag contents ... {% endtag %}

django内建的标签有很多，接近40个，足以成一节，下下节再说的

注释

注释，不用解释了吧

格式：{# #}

但是这个注释标签只能注释单行的文本

如果你想注释多行的话，要通过comment标签

模板继承

模板系统最有力也是最复杂的部分--模板继承，你可以在父模板中使用block标签定义一些列的变量，然后再字模板中覆盖他们，看下面的例子：

base.html

<!DOCTYPE html>
<html lang="en">
<head>
    <link rel="stylesheet" href="style.css" />
    <title>{% block title %}My amazing site{% endblock %}</title>
</head>
<body>
    <div id="sidebar">
        {% block sidebar %}
        <ul>
            <li><a href="/">Home</a></li>
            <li><a href="/blog/">Blog</a></li>
        </ul>
        {% endblock %}
    </div>
    <div id="content">
        {% block content %}{% endblock %}
    </div>
</body>
</html>

一个子模板如下，关键是extends标签

{% extends "base.html" %}
{% block title %}My amazing blog{% endblock %}
{% block content %}
{% for entry in blog_entries %}
    <h2>{{ entry.title }}</h2>
    <p>{{ entry.body }}</p>
{% endfor %}
{% endblock %}

渲染的效果如下：子模板中有的标签会覆盖父模板的内容如title，子模板没有覆盖的标签将从父模板哪里继承过来，如sidebar

<!DOCTYPE html>
<html lang="en">
<head>
    <link rel="stylesheet" href="style.css" />
    <title>My amazing blog</title>
</head>
<body>
    <div id="sidebar">
        <ul>
            <li><a href="/">Home</a></li>
            <li><a href="/blog/">Blog</a></li>
        </ul>
    </div>
    <div id="content">
        <h2>Entry one</h2>
        <p>This is my first entry.</p>
        <h2>Entry two</h2>
        <p>This is my second entry.</p>
    </div>
</body>
</html>

下面是一些tips：

• 如果你要使用extends标签，请确保extends在子模板中时第一个标签
• 在父模板中的block标签越多越好
• 如果你在多个子模板中出现了重复的内容，是时候考虑把它们放到父模板里面了
• {{ block.super }} 可以访问父模板中对应block的值，当你仅仅是想在父模板的基础上添加内容而不是覆盖的时候 ，可能会用到这个值

自动HTML转义

威胁主要来自跨站点攻击（XXS）

很明显，用户提交的内容是不能被盲目的信任的，因为一些别有用心的用户可能会利用这种盲目的信任来做一些你意想不到的事情，例如在内容中内嵌了一段javascript代码等等，所以django是默认自动转义的，即是有下面的转换

• < is converted to &lt;
• > is converted to &gt;
• ' (single quote) is converted to '
• " (double quote) is converted to &quot;
• & is converted to &amp;

如果你真的要放弃自动转义，或者你有自己的需要的，或者你确信用户的输入没有威胁的时候，你可以关闭自动HTML转义

在变量中，你可以这样做

This will be escaped: {{ data }}
This will not be escaped: {{ data|safe }}

在标签中，你可以这样做

{% autoescape off %}
    This will not be auto-escaped: {{ data }}.
 
    Nor this: {{ other_data }}
    {% autoescape on %}
        Auto-escaping applies again: {{ name }}
    {% endautoescape %}
{% endautoescape %}

访问方法调用

在模板中，大多数的方法调用还是可用的，但，方法是不可能在模板中定义的，所有的属性方法必须在模板之前定义好

{% for comment in task.comment_set.all %}
    {{ comment }}
{% endfor %}
{{ task.comment_set.all.count }}
# In model
class Task(models.Model):
    def foo(self):
        return "bar"
 
# In template
{{ task.foo }}

p