Django模板的自动转义,从后台返回html代码的方法——autoescape、safe和mark_safe

方式一:

Django的模板中会对HTML标签和JS等语法标签进行自动转义,原因显而易见,这样是为了安全。但是有的时候我们可能不希望这些HTML元素被转义(关闭自动转义),比如我们做一个内容管理系统,后台添加的文章中是经过修饰的,这些修饰可能是通过一个类似于FCKeditor编辑加注了HTML修饰符的文本,如果自动转义的话显示的就是保护HTML标签的源文件。为了在Django中关闭HTML的自动转义有两种方式,如果是一个单独的变量我们可以通过过滤器“|safe”的方式告诉Django这段代码是安全的不必转义。比如:

1.这行代表会被自动转义{{ data }}

Django模板的自动转义,从后台返回html代码的方法——autoescape、safe和mark_safe_第1张图片

2.这行代表不会被自动转义 {{ data|safe }}

Django模板的自动转义,从后台返回html代码的方法——autoescape、safe和mark_safe_第2张图片

方式二: 

我们还可以通过{%autoescape off%}的方式关闭整段代码的自动转义,比如下面这样:
{% autoescape off %}
Hello {{ name }}
{% endautoescape %}

对应的实际应用就是,系统在保存一些数据时,必须要保存富文本(html标签)到数据库中(TextField),当这条数据被调用的时候,显示出来的就是带有html的一段标签,这时(系统的前后端未分离)显示给前端(默认自动转义)就是一段html的字符串,而不是真正的html标签,所以要显示真正的html标签的话,就要关闭自动转义。两种方法如上喽。

方式三:

需求:有时需要直接从后台返回html代码,并带有相应的css,免得在前端再写一堆嵌入代码进行判断。

django从 views 往 templates 传输html代码时,默认是不渲染此html代码,原因是为了安全。

而为了渲染html代码,需要额外加上一些代码:

from django.utils.safestring import mark_safe

deploy_success = mark_safe('部署成功')
##或者:mark_safe(”%s” %(self.user.id, self.user.username))
##或者:format_html('{}', color_code, obj.approval)

## 然后在前端使用 {{ deploy_success }} 就能渲染成功


————————————————

原文链接:https://blog.csdn.net/dqchouyang/article/details/51153878

原文链接:https://blog.csdn.net/kong2030/article/details/85702042

你可能感兴趣的:(Django模板的自动转义,从后台返回html代码的方法——autoescape、safe和mark_safe)