flask.jinja2模板中⾃动转义和取消转义的分析
jinja2在默认的情况下是实现⾃动转义的
⽽什么对象会被⾃动转义呢?答案是:被渲染到页⾯的对象中没有实现__html__⽅法的对象
换句话说,就是假设⼀个对象实现了__html__⽅法那么这个对象就是安全的,jinja2模板就不会将它转义,即使他就是个恶意的脚本
那么为了防⽌被恶意脚本攻击,jinja2模板默认开启了⾃动转义,频繁的⾃动转义是会⼤量的消耗资源的,所以在确定该数据是安全的情况可以使⽤|safed或者{% autoescape false %}{% endautoescape %}关闭转义环境
转义的过程和不转义过程的实现
转义的过程:
模板获取数据对象,查询对象中是否实现__html__⽅法,实现了__html__⽅法的对象就被判断为安全的,那就配合执⾏__html__⽅法将数据渲染到前端页⾯重点条件:
存在转义的环境下
前端页面模板没有实现__html__⽅法
不转义的过程:
不转义的⽅法有两种,实现的原理不同,就是上述转义过程的两个条件中只让他不满⾜其中⼀个就可以实现不转义
|safe 过滤器safe
过滤器safe在源码中是将对象转换成⼀个Mark_up类的对象并实现了__html__的⽅法,使得数据对象可以被标记为安全的渲染到前端页⾯{% autoescape false %}
{% endautoescape %}
这个语句实现不转义的原理是将对象处于⼀个没有转义的环境下去渲染到前端页⾯,意思就是,⽣成⼀个不会去查看对象是否拥有__html__的环境中,所以,连查看是否需要转义的环境都没有⾃然就不转义的渲染到前端页⾯上了

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。