jinja2在默认的情况下是实现自动转义的
而什么对象会被自动转义呢?答案是:被渲染到页面的对象中没有实现
__html__方法的对象
换句话说,就是假设一个对象实现了__html__方法那么这个对象就是安全的,jinja2模板就不会将它转义,即使他就是个恶意的脚本
那么为了防止被恶意脚本攻击,jinja2模板默认开启了自动转义,频繁的自动转义是会大量的消耗资源的,所以在确定该数据是安全的情况可以使用|safed或者{% autoescape false %}{% endautoescape %}关闭转义环境
转义的过程和不转义过程的实现
- 转义的过程:
模板获取数据对象,查询对象中是否实现html方法,实现了html方法的对象就被判断为安全的,那就配合执行html方法将数据渲染到前端页面
重点条件:
存在转义的环境下
没有实现html方法
- 不转义的过程:
不转义的方法有两种,实现的原理不同,就是上述转义过程的两个条件中只让他不满足其中一个就可以实现不转义
- 过滤器safe
过滤器safe在源码中是将对象转换成一个Mark_up类的对象并实现了html的方法,使得数据对象可以被标记为安全的渲染到前端页面
{% autoescape false %}
<!-- 内容 -->
{% endautoescape %}
这个语句实现不转义的原理是将对象处于一个没有转义的环境下去渲染到前端页面,意思就是,生成一个不会去查看对象是否拥有html的环境中,
所以,连查看是否需要转义的环境都没有自然就不转义的渲染到前端页面上了
网友评论