在Django框架中编写Context处理器的方法


Posted in Python onJuly 20, 2015

写Context处理器的一些建议

编写处理器的一些建议:

    使每个context处理器完成尽可能小的功能。 使用多个处理器是很容易的,所以你可以根据逻辑块来分解功能以便将来复用。

    要注意 TEMPLATE_CONTEXT_PROCESSORS 里的context processor 将会在基于这个settings.py的每个 模板中有效,所以变量的命名不要和模板的变量冲突。 变量名是大小写敏感的,所以processor的变量全用大写是个不错的主意。

    不论它们存放在哪个物理路径下,只要在你的Python搜索路径中,你就可以在 TEMPLATE_CONTEXT_PROCESSORS 设置里指向它们。 建议你把它们放在应用或者工程目录下名为 context_processors.py 的文件里。

html自动转意

从模板生成html的时候,总是有一个风险——变量包了含会影响结果html的字符。 例如,考虑这个模板片段:

Hello, {{ name }}.

一开始,这看起来是显示用户名的一个无害的途径,但是考虑如果用户输入如下的名字将会发生什么:

<script>alert('hello')</script>

用这个用户名,模板将被渲染成:

Hello, <script>alert('hello')</script>

这意味着浏览器将弹出JavaScript警告框!

类似的,如果用户名包含小于符号,就像这样:

用户名

那样的话模板结果被翻译成这样:

Hello, <b>username

页面的剩余部分变成了粗体!

显然,用户提交的数据不应该被盲目信任,直接插入到你的页面中。因为一个潜在的恶意的用户能够利用这类漏洞做坏事。 这类漏洞称为被跨域脚本 (XSS) 攻击。 关于安全的更多内容,请看20章

为了避免这个问题,你有两个选择:

    一是你可以确保每一个不被信任的变量都被escape过滤器处理一遍,把潜在有害的html字符转换为无害的。 这是最初几年Django的默认方案,但是这样做的问题是它把责任推给你(开发者、模版作者)自己,来确保把所有东西转意。 很容易就忘记转意数据。

    二是,你可以利用Django的自动html转意。 这一章的剩余部分描述自动转意是如何工作的。

在django里默认情况下,每一个模板自动转意每一个变量标签的输出。 尤其是这五个字符。

  •     ``\ ``
  •     System Message: WARNING/2 (<string>, line 491); backlink
  •     Inline literal start-string without end-string.
  •     > 被转换为>
  •     '(单引号)被转换为'
  •     "(双引号)被转换为"
  •     & is converted to &

另外,我强调一下这个行为默认是开启的。 如果你正在使用django的模板系统,那么你是被保护的。
如何关闭它

如果你不想数据被自动转意,在每一站点级别、每一模板级别或者每一变量级别你都有几种方法来关闭它。

为什么要关闭它? 因为有时候模板变量包含了一些原始html数据,在这种情况下我们不想它们的内容被转意。 例如,你可能在数据库里存储了一段被信任的html代码,并且你想直接把它嵌入到你的模板里。 或者,你可能正在使用Django的模板系统生成非html文本,比如一封e-mail。
对于单独的变量

用safe过滤器为单独的变量关闭自动转意:

This will be escaped: {{ data }}
This will not be escaped: {{ data|safe }}

你可以把safe当做safe from further escaping的简写,或者当做可以被直接译成HTML的内容。在这个例子里,如果数据包含'',那么输出会变成:

This will be escaped: <b>
This will not be escaped: <b>

对于模板块

为了控制模板的自动转意,用标签autoescape来包装整个模板(或者模板中常用的部分),就像这样:

{% autoescape off %}
 Hello {{ name }}
{% endautoescape %}

autoescape 标签有两个参数on和off 有时,你可能想阻止一部分自动转意,对另一部分自动转意。 这是一个模板的例子:

Auto-escaping is on by default. Hello {{ name }}

{% autoescape off %}
 This will not be auto-escaped: {{ data }}.

 Nor this: {{ other_data }}
 {% autoescape on %}
 Auto-escaping applies again: {{ name }}
 {% endautoescape %}
{% endautoescape %}

auto-escaping 标签的作用域不仅可以影响到当前模板还可以通过include标签作用到其他标签,就像block标签一样。 例如:

# base.html

{% autoescape off %}
<h1>{% block title %}{% endblock %}</h1>
{% block content %}
{% endblock %}
{% endautoescape %}

# child.html

{% extends "base.html" %}
{% block title %}This & that{% endblock %}
{% block content %}{{ greeting }}{% endblock %}

由于在base模板中自动转意被关闭,所以在child模板中自动转意也会关闭.因此,在下面一段HTML被提交时,变量greeting的值就为字符串Hello!

<h1>This & that</h1>
<b>Hello!</b>

备注

通常,模板作者没必要为自动转意担心. 基于Pyhton的开发者(编写VIEWS视图和自定义过滤器)只需要考虑哪些数据不需要被转意,适时的标记数据,就可以让它们在模板中工作。

如果你正在编写一个模板而不知道是否要关闭自动转意,那就为所有需要转意的变量添加一个escape过滤器。 当自动转意开启时,使用escape过滤器似乎会两次转意数据,但其实没有任何危险。因为escape过滤器不作用于被转意过的变量。

Python 相关文章推荐
Python中将字典转换为XML以及相关的命名空间解析
Oct 15 Python
深入解析Python中的urllib2模块
Nov 13 Python
在Mac OS系统上安装Python的Pillow库的教程
Nov 20 Python
python中实现数组和列表读取一列的方法
Apr 03 Python
Numpy数组的保存与读取方法
Apr 04 Python
对python实现模板生成脚本的方法详解
Jan 30 Python
Python元组常见操作示例
Feb 19 Python
selenium 安装与chromedriver安装的方法步骤
Jun 12 Python
Django admin禁用编辑链接和添加删除操作详解
Nov 15 Python
Python实现初始化不同的变量类型为空值
Jun 02 Python
Python使用Chrome插件实现爬虫过程图解
Jun 09 Python
python实现粒子群算法
Oct 15 Python
详解Django框架中用context来解析模板的方法
Jul 20 #Python
Django中URLconf和include()的协同工作方法
Jul 20 #Python
在Python的Django框架中包装视图函数
Jul 20 #Python
Django中URL视图函数的一些高级概念介绍
Jul 20 #Python
Python的Django框架中从url中捕捉文本的方法
Jul 20 #Python
Django框架中处理URLconf中特定的URL的方法
Jul 20 #Python
在Django中创建URLconf相关的通用视图的方法
Jul 20 #Python
You might like
nginx+php-fpm配置文件的组织结构介绍
2012/11/07 PHP
PHP中的替代语法介绍
2015/01/09 PHP
joomla数据库操作示例代码
2016/01/06 PHP
关于IE BUG与字符串截取substr的解决办法
2013/04/10 Javascript
ExtJS自定义主题(theme)样式详解
2013/11/18 Javascript
jquery全选checkBox功能实现代码(取消全选功能)
2013/12/10 Javascript
当滚动条滚动到页面底部自动加载增加内容的js代码
2014/05/13 Javascript
JavaScript设计模式之外观模式介绍
2014/12/28 Javascript
Adapter适配器模式在JavaScript设计模式编程中的运用分析
2016/05/18 Javascript
JS日程管理插件FullCalendar中文说明文档
2017/02/06 Javascript
详解javascript立即执行函数表达式IIFE
2017/02/13 Javascript
原生JS实现小小的音乐播放器
2017/10/16 Javascript
JavaScript实现精美个性导航栏筋斗云效果
2017/10/29 Javascript
手把手教你使用vue-cli脚手架(图文解析)
2017/11/08 Javascript
使用JSON格式提交数据到服务端的实例代码
2018/04/01 Javascript
vue-cli2.x项目优化之引入本地静态库文件的方法
2018/06/19 Javascript
Vue.js项目中管理每个页面的头部标签的两种方法
2018/06/25 Javascript
Vue Cli3 创建项目的方法步骤
2018/10/15 Javascript
详解vue中router-link标签所必备了解的属性
2019/04/15 Javascript
vue cli 3.x 项目部署到 github pages的方法
2019/04/17 Javascript
JavaScript实现随机点名器实例详解
2019/05/07 Javascript
解决微信浏览器缓存站点入口文件(IIS部署Vue项目)
2019/06/17 Javascript
Vue父组件向子组件传值以及data和props的区别详解
2020/03/02 Javascript
Python迭代器和生成器介绍
2015/03/06 Python
python 使用poster模块进行http方式的文件传输到服务器的方法
2019/01/15 Python
selenium+python自动化测试之使用webdriver操作浏览器的方法
2019/01/23 Python
Python实现清理微信僵尸粉功能示例【基于itchat模块】
2020/05/29 Python
Python selenium爬取微信公众号文章代码详解
2020/08/12 Python
学生档案自我鉴定
2013/10/07 职场文书
银行求职推荐信范文
2013/11/30 职场文书
员工安全承诺书
2014/05/22 职场文书
我的中国梦演讲稿高中篇
2014/08/19 职场文书
法律进社区活动总结
2015/05/07 职场文书
初中英语教学随笔
2015/08/15 职场文书
为什么MySQL选择Repeatable Read作为默认隔离级别
2021/07/26 MySQL
Python编程中内置的NotImplemented类型的用法
2022/03/23 Python