Jinja2 избежать всех HTML, но img, b и т. д

Question

Jinja2 избежать всех HTML, но img, b и т. д

Jinja2 автоматически избегает всех тегов HTML, но я не хочу избегать некоторых тегов (например,img, b, и некоторые другие). Как я могу это сделать?

12

escaping flask jinja2 python

автор: Mu Mind

3 ответов

автор: Alex Morega · Accepted Answer · 2012-01-23 20:12:30

Вы можете написать свой собственный фильтр. The скруббер библиотека довольно хорошо очищает HTML. Фильтр должен будет обернуть возвращаемую строку в jinja2.Markup Так что шаблон не денешься.

Edit: пример кода

import jinja2
import scrubber

def sanitize_html(text):
    return jinja2.Markup(scrubber.Scrubber().scrub(text))

jinja_env.filters['sanitize_html'] = sanitize_html

автор: Sean Vieira · Accepted Answer · 2017-05-23 12:25:06

вы захотите проанализировать ввод при отправке, используя подход белого списка-есть несколько хороших примеров в этом вопросе и варианты там.

Как только вы это сделаете, вы можете пометить любые переменные, которые будут содержать HTML, которые не должны быть экранированы с помощью safe фильтр:

{{comment|safe}}

автор: David · Accepted Answer · 2014-11-25 05:47:02

на отбеливатель библиотека может сделать очень хорошо.

например, предполагая, что переменная 'jinja_env' находится в области:

from bleach import clean
from markupsafe import Markup

def do_clean(text, **kw):
    """Perform clean and return a Markup object to mark the string as safe.
    This prevents Jinja from re-escaping the result."""
    return Markup(clean(text, **kw))

jinja_env.filters['clean'] = do_clean

тогда в шаблоне у вас может быть что-то вроде:

<p>{{ my_variable|clean(tags=['img', 'b', 'i', 'em', 'strong'], attributes={'img': ['src', 'alt', 'title', 'width', 'height']}) }}</p>

вы также можете использовать вызываемый (вместо списка) в атрибутах, позволяя более тщательную проверку атрибутов (например, проверку того, что src предоставляет действительный URL). Документация показывает пример.