Django自定义过滤器中is_safe和need_autoescape两个参数的理解

自定义template过滤器的方法参考文档,不再赘述

is_safe

文档说明过滤的两种最终形态,其中一种是设置register.filter(is_safe=True),但是对is_safe的具体作用说的云山雾绕的,而查了些博文只是简单的说is_safe可以关闭掉自动转义(这个说法是错误的!)
我尝试了加或者不加is_safe的效果

@register.filter
def demo(value):
    return '
' + value @register.filter(is_safe=True) def demo(value): return '
' + value
  • {{ text|demo}}
  • 结果就是都对过滤器返回的结果进行了转义!
    后来发现重点在于文档中的这一句话:

    This flag tells Django that if a “safe” string is passed into your filter, the result will still be “safe” and if a non-safe string is passed in, Django will automatically escape it, if necessary.
    这个标志告诉Django 如果"安全"的字符串传递到您的过滤,结果仍将是"安全",如果一个非安全字符串传递,如果必要Django 会自动转义它。

    重点在于"安全",也就是文档中提到的SafeData类型.文档中有提到'某些正常的字符串操作会将SafeData对象转换成普通的str或unicode对象,Django的过滤器在完成之后会修复这种破坏,并且很困难'.
    这才是is_safe的意义所在:如果传入的value已经是SafeData对象,is_safe会告诉Django当前过滤器输出的数据不再需要转义.
    至于SafeData类型数据的来源,我暂时只知道mark_safe()函数会返回SafeData对象.

    from django.utils.safestring import mark_safe
    
    @register.filter()
    def to_safe(value):
        return mark_safe(value)
    
    @register.filter(is_safe=True)
    def demo(value):
        return '
    ' + value
  • {{ test|to_safe|demo }}
  • 这样的情况,demo过滤器接收到一个SafeData对象,其结果不会再转义(
    换行符起作用了).

    need_autoescape

    如果在注册过滤器时添加了need_autoescape=True,那么过滤器必须接收一个autoescape参数,这样过滤器会捕捉其引用位置的自动转义是否开启,以决定你在过滤器中的行为.
    引用下文档中的栗子:

    @register.filter(needs_autoescape=True)
    def initial_letter_filter(text, autoescape=True):
        first, other = text[0], text[1:]
        if autoescape:
            esc = conditional_escape
        else:
            esc = lambda x: x
        result = '%s%s' % (esc(first), esc(other))
        return mark_safe(result)
    

    该过滤器的输出通过mark_safe()函数标记为"安全",这样可以保证在过滤器中引入的HTML标签可以实现.但是同样要考虑输入的安全问题.如果模板中autoescape是开启的,说明我们已经认定这部分的数据是存在威胁的,所以需要在过滤器中手动对输入数据进行转义来保证其安全性.

    你可能感兴趣的:(Django自定义过滤器中is_safe和need_autoescape两个参数的理解)