Question

У моего администратора есть текстовая область, в которую пользователь может ввести html:

<ul>
  <li>blah</li>
</ul>
<p>
  Stuffs
</p>

Когда я нажимаю на шаблон выше и просматриваю источник страницы, я получаю:

&lt;ul&gt;
  &lt;li&gt;blah&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;
  Stuffs
&lt;/p&gt;

Что мне делать с выводом, чтобы я мог видеть фактический html в источнике страницы?

Nixarn · Answer 1 · 09 октября 2009

вам нужен «безопасный» фильтр. Как это автоматически скрывается.

{{ my_html|safe }}

bobince · Answer 2 · 09 октября 2009

Под «текстовой областью» вы подразумеваете <textarea>?

Потому что, если это так, экранирование от < до < (и др.) - это то, что вы должны делать внутри текстовой области или любого другого элемента HTML: Django делает все правильно. Вы видите правильную, расшифрованную версию текста на странице; кого волнует, как выглядит источник?

Если вы не избегаете содержимого текстовой области, вы не только генерируете недопустимый HTML, вы также открываете себя для атак, когда пользователь вводит:

</textarea>
<script>
    steal(document.cookie);
    location.href= 'russian malware site';
    // etc.
</script>

kender · Answer 3 · 09 октября 2009

См. Документацию по тегам шаблона здесь , проверьте описание тега autoescape.

Как ввести фактический HTML из модели в шаблон?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как ввести фактический HTML из модели в шаблон?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов