本文介绍了Jinja2模板引擎在Flask中的自动转义机制,解释了只有未实现`__html__`方法的对象才会被自动转义以防止恶意脚本攻击。同时,讨论了如何在确保数据安全的情况下关闭转义,包括使用`|safe`过滤器和`{% autoescape false %}{% endautoescape %}`语句来实现不转义渲染。通过理解这些机制,开发者可以更好地控制模板渲染过程中的安全性和效率。
jinja2在默认的情况下是实现自动转义的
而什么对象会被自动转义呢?答案是:被渲染到页面的对象中没有实现__html__方法的对象
换句话说,就是假设一个对象实现了__html__方法那么这个对象就是安全的,jinja2模板就不会将它转义,即使他就是个恶意的脚本
那么为了防止被恶意脚本攻击,jinja2模板默认开启了自动转义,频繁的自动转义是会大量的消耗资源的,所以在确定该数据是安全的情况可以使用|safed或者{% autoescape false %}{% endautoescape %}关闭转义环境
转义的过程和不转义过程的实现
转义的过程:
模板获取数据对象,查询对象中是否实现__html__方法,实现了__html__方法的对象就被判断为安全的,那就配合执行__html__方法将数据渲染到前端页面
重点条件:
存在转义的环境下
没有实现__html__方法
不转义的过程:
不转义的方法有两种,实现的原理不同,就是上述转义过程的两个条件中只让他不满足其中一个就可以实现不转义
|safe 过滤器safe
过滤器safe在源码中是将对象转换成一个Mark_up类的对象并实现了__html__的方法,使得数据对象可以被标记为安全的渲染到前端页面
{% autoescape false %}
{% endautoescape %}
这个语句实现不转义的原理是将对象处于一个没有转义的环境下去渲染到前端页面,意思就是,生成一个不会去查看对象是否拥有__html__的环境中,
所以,连查看是否需要转义的环境都没有自然就不转义的渲染到前端页面上了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
