“逃脱”在将变量传递给 Django 中的模板之前

发布于 2024-11-02 03:17:57 字数 331 浏览 2 评论 0原文

我需要将 HTML 代码传递给 messages,并且我使用模板来执行此操作。

为了使 HTML 正常工作,我在模板中将消息标记为安全:

{{消息|安全}}

但是,当我在消息中显示用户生成的内容时,这使我容易受到攻击。例如:

messages.success(request, "太棒了! \“%s\”现已激活。“% user_toy)

如果 user_toy 是由用户生成的,HTML 将不会转义。我该如何解决这个问题?

I need to pass HTML code to messages and am doing so using templates.

In order to get the HTML to work, I mark the message as safe in my template:

{{ message|safe }}

However, this leaves me open to attack as I'm displaying user generated content in the message. For example:

messages.success(request, "Awesome!
\"%s\" is now active." % user_toy)

If user_toy is generated by the user, HTML will go unescaped. How do I fix this?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

青春如此纠结 2024-11-09 03:17:57

我能够使用 django.utils.html 中的 escape 修复此问题:

从 django.utils.html 导入转义

messages.success(request, "太棒了!
\“%s\”现已激活。“ %
逃脱(user_toy))

I was able to fix this using escape from django.utils.html:

from django.utils.html import escape

messages.success(request, "Awesome!
\"%s\" is now active." %
escape(user_toy))

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文