tornado

tornado默认是转义所有字符,比较安全,但有时候我们的确需要把字符当做html来解析处理,因此我们需要做些处理。

所有的模板输出都已经通过 tornado.escape.xhtml_escape 自动转义(escape)

在模板文件中加入 {% autoescape None %}、或者在简单表达语句 {{ … }} 写成 {% raw …%}

import tornado.ioloop
import tornado.web

class MainHandler(tornado.web.RequestHandler):
	def get(self):
		self.render('main.html',title = '<h1>Title</h1>')

application = tornado.web.Application([
	(r"/", MainHandler),
])

if __name__ == "__main__":
	application.listen(8888)
	tornado.ioloop.IOLoop.instance().start()

1、利用raw

{% raw title %}

2、不转译处理({% autoescape None %} 是整个文件都生效,但可以使用escape转义某一处

{% autoescape None %}
{{ title }}
{{ escape(title) }}

Django

1、使用mark_safe函数标记后,django将不再对该函数的内容进行转义

from django.utils.safestring import mark_safe 
ret = mark_safe(a)  

2、使用autoescape标签

{% autoescape off %}
    {{ a }}
{% endautoescape %}

3、管道符|safe

{{ a|safe }}

 

posted on 2017-06-23 17:00  23云恋49枫  阅读(282)  评论(0编辑  收藏  举报