the security chapter的The Django Book,它表示我必须始终使用模板标记{% escape %}
以保护我的网站免受跨站点脚本攻击。在Django中使用“escape”标签是否是一个很好的安全模式?
真的有必要把逃生标签放在每一个模板字符串上吗?有没有办法在应用程序级别指定它?
the security chapter的The Django Book,它表示我必须始终使用模板标记{% escape %}
以保护我的网站免受跨站点脚本攻击。在Django中使用“escape”标签是否是一个很好的安全模式?
真的有必要把逃生标签放在每一个模板字符串上吗?有没有办法在应用程序级别指定它?
该版本的Django书籍在1.0出来之前写得很好,而且已经过时了。所有模板内容现在都已自动转换了一段时间。
在django中自动完成。要关闭它,你必须使用autoescape标签。我不知道从什么时候开始,但至少从1.1版开始。
{% autoescape off %}
safe stuff
{% endautoscape %}
Phew,我很高兴他们做到了。谢谢! – Lucian 2011-02-09 11:37:56