Buduję administratora dla Flask i SQLAlchemy i chcę przekazać HTML dla różnych danych wejściowych do mojego widoku za pomocą render_template. Wygląda na to, że struktura szablonów automatycznie wymyka się z html, więc wszystkie <"'> są konwertowane na encje HTML. Jak mogę to wyłączyć, aby HTML renderował się poprawnie?
Odpowiedzi:
idealnym sposobem jest
{{ something|safe }}niż całkowite wyłączenie automatycznego ucieczki.
userHome.htmli chciałbym go użyć return render_template('userHome.html'), ale nie renderuje się on poprawnie i wszystkie zwracają się do jednostek html w mojej konsoli chrome.
transtagu musi to być używane jako{% trans something=something|safe %}A {{something}} B{% endtrans %}
Możesz również zadeklarować go jako bezpieczny HTML z kodu:
from flask import Markup
value = Markup('<strong>The HTML String</strong>')Następnie przekaż tę wartość do szablonów, a oni nie muszą tego robić |safe.
Z sekcji jinja docs HTML Escaping :
Gdy automatyczne uciekanie jest włączone, domyślnie wszystkie są chronione za wyjątkiem wartości jawnie oznaczonych jako bezpieczne. Można je zaznaczyć w aplikacji lub w szablonie przy użyciu filtru | safe.
Przykład:
<div class="info">
{{data.email_content|safe}}
</div>Jeśli masz wiele zmiennych, które nie wymagają ucieczki, możesz użyć autoescapebloku:
{% autoescape off %}
{{ something }}
{{ something_else }}
<b>{{ something_important }}</b>
{% endautoescape %}Niektórzy ludzie zdają się wyłączać autoescape , co niesie ze sobą zagrożenie bezpieczeństwa związane z manipulowaniem wyświetlaniem napisów.
Jeśli chcesz tylko wstawić kilka podziałów wierszy do ciągu i przekonwertować te podziały na <br />, możesz wziąć makro jinja, takie jak:
{% macro linebreaks_for_string( the_string ) -%}
{% if the_string %}
{% for line in the_string.split('\n') %}
<br />
{{ line }}
{% endfor %}
{% else %}
{{ the_string }}
{% endif %}
{%- endmacro %}aw szablonie po prostu nazwij to za pomocą
{{ linebreaks_for_string( my_string_in_a_variable ) }}