как мне html-escape опасный unsanitized вход в jinja2?jinja2: html escape-переменные
Могу ли я сделать это внутри шаблона или его нужно сделать в коде python?
У меня есть переменная, которая может содержать da <ngero> u & s chars. Как мне избежать этого в jinja2
например.
{{ user.username|e }}
Pipe его через |e фильтр
Jinija: Template Designer Documentation -> Builtin Filters: Escape
Вы также могли бы сказать окружающую среду в autoescape все:
e = Environment(loader=fileloader, autoescape=True)
примечание: в jinja1 это auto_escape
Если вы хотите избежать html в лету ур программа, вы можете сделать это следующим образом (пример):
>>> import jinja2
>>> jinja2.__version__
'2.6'
>>> a
'<script>alert("yy")</script>'
>>> jinja2.escape(a)
Markup(u'<script>alert("yy")</script>')
>>> str(jinja2.escape(a))
'<script>alert("yy")</script>'
Колба имеет встроенный фильтр tojson:
Выше ссылка сломана, используйте http://jinja.pocoo.org/docs/templates /? highlight = pipe% 20safe # html-escaping –
И снова сломан http://jinja.pocoo.org/docs/dev/templates/#builtin-filters – silpol