我的 Django 应用有一个 Person 表,它在名为 details 的字段中包含以下文本:
<script>alert('Hello');</script>
当我在模板中调用 PersonForm.details 时,页面会相应地呈现脚本(也就是显示带有“Hello”一词的警报)。我对这种行为感到困惑,因为我一直认为Django 1.0 autoescaped 是默认的模板内容。
知道这里可能发生了什么吗?
更新:这是我模板中的 sn-p。没有什么特别性感的:
{{ person_form.details }}
更新 2: 我已经尝试过 escape、force-escape 和 escapejs。这些都不起作用。
【问题讨论】:
您需要将值标记为 |我认为是安全的(我猜你是在这里填写数据库中的值(?)):
{{ value|safe }}
你能发布一个模板样本吗?可能更容易看出问题所在
[Edit] ..或者你是说你想要它来转义值(使它们安全)?您是否尝试过手动转义字段:
{{ value|escape }}
[Edit2] 也许escapejs from the Django Project docs 是相关的:
escapejs
New in Django 1.0.
Escapes characters for use in JavaScript strings. This does not make the string safe for use in HTML, but does protect you from syntax errors when using templates to generate JavaScript/JSON.
[Edit3] 那么 force_escape 呢:
{{ value|force_escape }}
...我知道这很明显,但是您绝对确定您的浏览器中没有进行任何缓存?我自己也被那个绊倒了几次;-)
【讨论】:
发现问题。我用来向某些 Ext 小部件呈现数据的 JSON 字符串是罪魁祸首。非常感谢乔恩·凯奇。尽管问题是由其他来源引起的,但仍接受了答案。
【讨论】: