Django模板中的关闭和开启HTML自动转义，解析

做Web开发的人都明白，我们应该避免在用户输入信息中出现HTML标签。比如考虑下面的Django模板信息：

Hello {{ name }}.

这看起来没什么问题，但是假如用户输入的name是下面这样的信息就麻烦了：

<script type="text/javascript">// <![CDATA[alert(’hello’)// ]]></script>

浏览器会解析这个信息并弹出一个对话框，这显然不是我们所希望的。毫无疑问，对于用户输入的信息，我们总是应该进行验证。你不知道是否会有一个“恶意”的用户会利用这个漏洞来做一些不好的事情。
为了避免以上问题，你有两个选择:

1. 给每个变量加上一个escape过滤器来进行HTML转义。Django刚发布那几年都是这样要求开发人员的。但是，这相当于把责任踢给了开发人员。难免会有人忘记了写这个转义过滤器。

2. 或者你可以选择使用Django的自动HTML转义功能，下面我将介绍它。

缺省情况下的转义方式是这样的：

•  < 被转换为 <
•  > 被转换为 >
• ’  (单引号)被转换为 '

 

• ” (双引号)被转换为 "
• & 被转换为 &

 

上面的转义规则是缺省的，所以如果你不想让某段信息被执行HTML转义，可以这样：

1. 对于单个变量，可以在其后面加上safe过滤器，告诉Django这个字符串不用进行HTML转义。比如：

This will be escaped: {{ data }}This will not be escaped: {{ data|safe }}

如果其中的data的值是 <b> 上面两行的最终输出结果为：

This will be escaped: <b>This will not be escaped: <b>

2. 对于一段模板内容可以使用autoescape标签，比如：

{% autoescape off %}Hello {{ name }}{% endautoescape %}

这里的off 参数表明被autoescape包含的信息都不需要执行HTML转义。on 参数表示需要执行HTML转义，比如有的时候你希望一段信息中大部分不需要HTML转义，但是其中某个部分需要HTML转义，可以这样：

{% autoescape off %}This will not be auto-escaped: {{ data }}.Nor this: {{ other_data }}{% autoescape on %}Auto-escaping applies again: {{ name }}{% endautoescape %}{% endautoescape %}

另外需要注意的一点是autoescape是存在继承性的，比如你在父模板中有一个autoescape标签并且参数为off，那么继承它的子模板也会在相应的部分继承这一特性。比如：

# base.html{% autoescape off %}<h1>{% block title %}{% endblock %}</h1>{% block content %}{% endblock %}{% endautoescape %}# child.html {% extends "base.html" %}{% block title %}This & that{% endblock %}{% block content %}{{ greeting }}{% endblock %}

最后要提一下 字符串的default过滤器，比如下面这个例子：

{{ data|default:"This is a string literal." }}

如果你在default:后面的缺省值中包含了HTML特殊字符，那么是不会被转义的，比如你应该按照下面第一种的方式来写，而不是第二种：

# 正确的写法

{{ data|default:"3 < 2" }}

# 错误的写法

{{ data|default:"3 < 2" }}