“转义”变量在将它传递给Django中的模板之前

Question

我需要将HTML代码传递给messages并且我正在使用模板。

为了获得HTML工作，我标志着我的模板是安全的消息：

{{消息|安全}}

然而，这让我开攻击因为我在消息中显示用户生成的内容。例如：（！ “真棒 \” 的要求，％s \ “的。现在是活动的” ％user_toy）

messages.success

如果由用户生成的user_toy，HTML会转义。我该如何解决？

Answer 1

我能解决这个使用escape从django.utils.html： “真棒 \”

从django.utils.html进口逃生

messages.success（请求％s \”的是现在处于活动状态。“％ escape（user_toy））