模板继承

模板继承和类的继承含义是一样的，主要是为了提高代码重用，减轻开发人员的工作量。 典型应用：网站的头部、尾部信息。

父模板

如果发现在多个模板中某些内容相同，那就应该把这段内容定义到父模板中
{%block 名称%}
预留区域，可以编写默认内容，也可以没有默认内容
{%endblock 名称%}

子模板

标签extends：继承，写在子模板文件的第一行。
{% extends "父模板路径"%}

子模版不用填充父模版中的所有预留区域，如果子模版没有填充，则使用父模版定义的默认值。
填充父模板中指定名称的预留区域。
{%block 名称%}
实际填充内容
{{block.super}}用于获取父模板中block的内容
{%endblock 名称%}

HTML转义

模板对上下文传递的字符串进行输出时，会对以下字符自动转义。
小于号< 转换为 <
大于号> 转换为 >
单引号' 转换为 '
双引号" 转换为 "
与符号& 转换为 &

关闭转义

过滤器escape可以实现对变量的html转义，默认模板就会转义，一般省略。
{{t1|escape}}
过滤器safe：禁用转义，告诉模板这个变量是安全的，可以解释执行。
{{data|safe}}

字符串字面值

对于在模板中硬编码的html字符串，不会转义。

CSRF

全称Cross Site Request Forgery，跨站请求伪造
某些恶意网站上包含链接、表单按钮或者JavaScript，它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作，这就是跨站攻击

防csrf的使用

在django的模板中，提供了防止跨站攻击的方法，使用步骤如下：
step1：在settings.py中启用'django.middleware.csrf.CsrfViewMiddleware'中间件，此项在创建项目时，默认被启用
step2：在csrf1.html中添加标签
<form>
{% csrf_token %}
...
</form>

取消csrf保护

如果某些视图不需要保护，可以使用装饰器csrf_exempt，模板中也不需要写标签，修改csrf2的视图如下