HTML转义

  • 模板对上下文传递的字符串进行输出时,会对以下字符自动转义
小于号< 转换为&lt;

大于号> 转换为&gt;

单引号' 转换为'

双引号" 转换为 &quot;

与符号& 转换为 &amp;

示例

  • 打开booktest/views.py文件,创建视图zhuanyi
def zhuanyi(request):

    context={'content':'<h1>hello world</h1>'}

    return render(request,'booktest/zhuanyi.html',context)

  

  • 打开booktest/urls.py文件,配置url
url(r'^zhuanyi/$', views.zhuanyi),

  

  • 在templates/booktest/目录下创建zhuanyi.html
<html>

<head>

    <title>转义</title>

</head>

<body>

自动转义:{{content}}

</body>

</html>

  

  • 运行服务器,在浏览器中输入如下网址
http://127.0.0.1:8000/zhuanyi/
  • 转义后标记代码不会被直接解释执行,而是被直接呈现,防止客户端通过嵌入js代码攻击网站
  • 浏览效果如下图

关闭转义

  • 过滤器escape可以实现对变量的html转义,默认模板就会转义,一般省略
{{t1|escape}}

  

  • 过滤器safe:禁用转义,告诉模板这个变量是安全的,可以解释执行
{{data|safe}}

  

  • 修改templates/booktest/zhuanyi.html代码如下
<html>

<head>

    <title>转义</title>

</head>

<body>

自动转义:{{content}}

<hr>

过滤器safe关闭转义:{{content|safe}}

</body>

</html>

  

  • 刷新浏览器后效果如下图

  • 标签autoescape:设置一段代码都禁用转义,接受on、off参数
{%autoescape off%}

...

{%endautoescape%}

  

  • 修改templates/booktest/zhuanyi.html代码如下
<html>

<head>

    <title>转义</title>

</head>

<body>

自动转义:{{content}}

<hr>

过滤器safe关闭转义:{{content|safe}}

<hr>

标签autoescape关闭转义:

{%autoescape off%}

{{content}}

{%endautoescape%}

</body>

</html>

  

  • 刷新浏览器后效果如下图

字符串字面值

  • 对于在模板中硬编码的html字符串,不会转义
  • 修改templates/booktest/zhuanyi.html代码如下
<html>

<head>

    <title>转义</title>

</head>

<body>

自动转义:{{content}}

<hr>

过滤器safe关闭转义:{{content|safe}}

<hr>

标签autoescape关闭转义:

{%autoescape off%}

{{content}}

{%endautoescape%}

<hr>

模板硬编码不转义:{{data|default:'<b>hello</b>'}}

</body>

</html>

  

  • 刷新浏览器后效果如下图

  • 如果希望出现转义的效果,则需要手动编码转义

  • 修改templates/booktest/zhuanyi.html代码如下

<html>

<head>

    <title>转义</title>

</head>

<body>

自动转义:{{content}}

<hr>

过滤器safe关闭转义:{{content|safe}}

<hr>

标签autoescape关闭转义:

{%autoescape off%}

{{content}}

{%endautoescape%}

<hr>

模板硬编码不转义:{{data|default:'<b>hello</b>'}}

<hr>

模板硬编码手动转义:{{data|default:"<b>123</b>"}}

</body>

</html>

  

  • 刷新浏览器后效果如下图

HTML转义的更多相关文章

  1. .NET 基础 一步步 一幕幕[运算符、占位符、转义符]

      运算符.占位符.转义符 好吧,在五局全胜之后,终于升到了三个钻,距离一个星星还有一大段距离,忽然想起来今天的博客还没写,果断坑队友,来写博客了....感觉以后还是每天更新一篇比较好.要不晚上就该熬 ...

  2. Unicode转义(\uXXXX)的编码和解码

    在涉及Web前端开发时, 有时会遇到\uXXXX格式表示的字符, 其中XXXX是16进制数字的字符串表示形式, 在js中这个叫Unicode转义字符, 和\n \r同属于转义字符. 在其他语言中也有类 ...

  3. java转换 HTML字符实体,java特殊字符转义字符串

    为什么要用转义字符串? HTML中<,>,&等有特殊含义(<,>,用于链接签,&用于转义),不能直接使用.这些符号是不显示在我们最终看到的网页里的,那如果我们希 ...

  4. SharePoint文档库文件夹特殊字符转义

    当我们在SharePoint网站文档库中新建文件夹时包含了~ " # % & * : < > ? / \ { | }字符时(一共15个), 或者以.开头或者结束,或者包含 ...

  5. 利用StringEscapeUtils对字符串进行各种转义与反转义(Java)

    apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml ...

  6. 阿里云提示:对输入参数id未进行正确类型转义,导致整型注入的发生

    类似以下提示: XXX.php中,对输入参数id未进行正确类型转义,导致整型注入的发生 解决办法: 找到对应文件:$id = $_GET['id']; 增加以下标红过滤: $id = $_GET['i ...

  7. Mysql字符转义

    在字符串中,某些序列具有特殊含义.这些序列均用反斜线('\')开始,即所谓的转义字符.MySQL识别下面的转义序列: \0 ASCII 0(NUL)字符. \' 单引号('''). \" 双 ...

  8. angularJS绑定数据时自动转义html标签

    angularJS在进行数据绑定时默认是会以文本的形式输出,也就是对你数据中的html标签不进行转义照单全收,这样提高了安全性,防止了html标签中的注入攻击,但有些时候还是需要的,特别是从数据库读取 ...

  9. java后台对前端输入的特殊字符进行转义

    转自:http://www.cnblogs.com/yangzhilong/p/5667165.html java后台对前端输入的特殊字符进行转义 HTML: 常见的帮助类有2个:一个是spring的 ...

  10. Linux Shell 通配符、元字符、转义符【转帖】

    作者:程默 说到shell通配符(wildcard),大家在使用时候会经常用到.下面是一个实例: 1   1 2 3 4 [chengmo@localhost ~/shell]$ ls a.txt  ...

随机推荐

  1. MySQL的Join使用

    在MySQL(以5.1为例)中,表连接的语法可以参见MySQL官方手册:MySQL官方手册-JOIN 在查询中,连接的语法类似 SELECT select_expr FROM table_refere ...

  2. Django 博客项目02 Form验证+ 上传头像(预览)+Ajax用户注册

    头像预览 $("#avatar_file").change(function(){ // 获取上传的文件对象 var file=$(this)[0].files[0]; // 读取 ...

  3. setting.xml配置文件 --转载

    转载出处:http://www.cnblogs.com/yakov/archive/2011/11/26/maven2_settings.html 在此,简单的说下 setting.xml 和 pom ...

  4. R语言学习——条件筛选

  5. ThinkPHP 5使用 Composer 组件名称可以从https://packagist.org/ 搜索到

    http://www.phpcomposer.com/ 1 这个是国内的composer网站 thinkphp5自带了composer.phar组件,如果没有安装,则需要进行安装 以下命令全部在项目目 ...

  6. Mybatis 测试延迟加载

    在学习mybatis的延迟加载时,对 lazyLoadingEnabled 和 aggressiveLazyLoading 的区别并不理解,特别是对查询的条件不同时,执行的查询语句也不一样,所以还是测 ...

  7. elastisSearch-aggregations

    运行结果 统计每个学员的总成绩 这个是索引库使用通配符 优先在本地查询 只在本地节点中查询 只在指定id的节点里面进行查询 查询指定分片的数据 参考代码ESTestAggregation.java p ...

  8. 抽象工厂模式( Abstract Factory )

    提供一个创建一系列相关或相互依赖对象的接口,而无需指定它们具体的类.解决多产品多等级结构.模式的类图如下: 抽象工厂模式的优点: 易于交换产品系列,由于具体工厂类在一个应用中只需要在初始化的时候出现一 ...

  9. string hashcode 解读

    偶尔看到string hashcode方法如下 public int hashCode() { int h = hash; if (h == 0 && value.length > ...

  10. 数据库,mysql

    数据库(`database`): ### 关系型数据库及非关系型数据库1. 什么是关系型数据库? 关系型数据库是一种建立在关系模型上的数据库,借助于集合代数等数学概念和方法来处理数据库中的数据.现实世 ...