您的當(dāng)前位置：首頁(yè)在Django框架中編寫Context處理器的方法

在Django框架中編寫Context處理器的方法

來(lái)源：九壹網(wǎng)

寫Context處理器的一些建議

編寫處理器的一些建議：

使每個(gè)context處理器完成盡可能小的功能。使用多個(gè)處理器是很容易的，所以你可以根據(jù)邏輯塊來(lái)分解功能以便將來(lái)復(fù)用。

要注意 TEMPLATE_CONTEXT_PROCESSORS 里的context processor 將會(huì)在基于這個(gè)settings.py的每個(gè) 模板中有效，所以變量的命名不要和模板的變量沖突。變量名是大小寫敏感的，所以processor的變量全用大寫是個(gè)不錯(cuò)的主意。

不論它們存放在哪個(gè)物理路徑下，只要在你的Python搜索路徑中，你就可以在 TEMPLATE_CONTEXT_PROCESSORS 設(shè)置里指向它們。建議你把它們放在應(yīng)用或者工程目錄下名為 context_processors.py 的文件里。

html自動(dòng)轉(zhuǎn)意

從模板生成html的時(shí)候，總是有一個(gè)風(fēng)險(xiǎn)——變量包了含會(huì)影響結(jié)果html的字符。例如，考慮這個(gè)模板片段：

Hello, {{ name }}.

一開始，這看起來(lái)是顯示用戶名的一個(gè)無(wú)害的途徑，但是考慮如果用戶輸入如下的名字將會(huì)發(fā)生什么：

用這個(gè)用戶名，模板將被渲染成：

Hello,

這意味著瀏覽器將彈出JavaScript警告框！

類似的，如果用戶名包含小于符號(hào)，就像這樣：

用戶名

那樣的話模板結(jié)果被翻譯成這樣：

Hello, username

頁(yè)面的剩余部分變成了粗體！

顯然，用戶提交的數(shù)據(jù)不應(yīng)該被盲目信任，直接插入到你的頁(yè)面中。因?yàn)橐粋€(gè)潛在的惡意的用戶能夠利用這類漏洞做壞事。這類漏洞稱為被跨域腳本 (XSS) 攻擊。關(guān)于安全的更多內(nèi)容，請(qǐng)看20章

為了避免這個(gè)問(wèn)題，你有兩個(gè)選擇：

一是你可以確保每一個(gè)不被信任的變量都被escape過(guò)濾器處理一遍，把潛在有害的html字符轉(zhuǎn)換為無(wú)害的。這是最初幾年Django的默認(rèn)方案，但是這樣做的問(wèn)題是它把責(zé)任推給你（開發(fā)者、模版作者）自己，來(lái)確保把所有東西轉(zhuǎn)意。很容易就忘記轉(zhuǎn)意數(shù)據(jù)。

二是，你可以利用Django的自動(dòng)html轉(zhuǎn)意。這一章的剩余部分描述自動(dòng)轉(zhuǎn)意是如何工作的。

在django里默認(rèn)情況下，每一個(gè)模板自動(dòng)轉(zhuǎn)意每一個(gè)變量標(biāo)簽的輸出。尤其是這五個(gè)字符。

`` ``

System Message: WARNING/2 (, line 491); backlink

Inline literal start-string without end-string.

> 被轉(zhuǎn)換為>

'（單引號(hào)）被轉(zhuǎn)換為'

"(雙引號(hào))被轉(zhuǎn)換為"

& is converted to &

另外，我強(qiáng)調(diào)一下這個(gè)行為默認(rèn)是開啟的。如果你正在使用django的模板系統(tǒng)，那么你是被保護(hù)的。
如何關(guān)閉它

如果你不想數(shù)據(jù)被自動(dòng)轉(zhuǎn)意，在每一站點(diǎn)級(jí)別、每一模板級(jí)別或者每一變量級(jí)別你都有幾種方法來(lái)關(guān)閉它。

為什么要關(guān)閉它？因?yàn)橛袝r(shí)候模板變量包含了一些原始html數(shù)據(jù)，在這種情況下我們不想它們的內(nèi)容被轉(zhuǎn)意。例如，你可能在數(shù)據(jù)庫(kù)里存儲(chǔ)了一段被信任的html代碼，并且你想直接把它嵌入到你的模板里。或者，你可能正在使用Django的模板系統(tǒng)生成非html文本，比如一封e-mail。
對(duì)于單獨(dú)的變量

用safe過(guò)濾器為單獨(dú)的變量關(guān)閉自動(dòng)轉(zhuǎn)意：

This will be escaped: {{ data }} This will not be escaped: {{ data|safe }}

你可以把safe當(dāng)做safe from further escaping的簡(jiǎn)寫，或者當(dāng)做可以被直接譯成HTML的內(nèi)容。在這個(gè)例子里，如果數(shù)據(jù)包含''，那么輸出會(huì)變成：

This will be escaped: This will not be escaped:

對(duì)于模板塊

為了控制模板的自動(dòng)轉(zhuǎn)意,用標(biāo)簽autoescape來(lái)包裝整個(gè)模板(或者模板中常用的部分),就像這樣：

{% autoescape off %} Hello {{ name }} {% endautoescape %}

autoescape 標(biāo)簽有兩個(gè)參數(shù)on和off 有時(shí),你可能想阻止一部分自動(dòng)轉(zhuǎn)意,對(duì)另一部分自動(dòng)轉(zhuǎn)意。這是一個(gè)模板的例子：

Auto-escaping is on by default. Hello {{ name }} {% autoescape off %} This will not be auto-escaped: {{ data }}. Nor this: {{ other_data }} {% autoescape on %} Auto-escaping applies again: {{ name }} {% endautoescape %} {% endautoescape %}

auto-escaping 標(biāo)簽的作用域不僅可以影響到當(dāng)前模板還可以通過(guò)include標(biāo)簽作用到其他標(biāo)簽,就像block標(biāo)簽一樣。例如：

# base.html {% autoescape off %}
{% block title %}{% endblock %}
{% block content %} {% endblock %} {% endautoescape %} # child.html {% extends "base.html" %} {% block title %}This & that{% endblock %} {% block content %}{{ greeting }}{% endblock %}

由于在base模板中自動(dòng)轉(zhuǎn)意被關(guān)閉,所以在child模板中自動(dòng)轉(zhuǎn)意也會(huì)關(guān)閉.因此,在下面一段HTML被提交時(shí),變量greeting的值就為字符串Hello!

This & that
Hello!

備注

通常,模板作者沒(méi)必要為自動(dòng)轉(zhuǎn)意擔(dān)心. 基于Pyhton的開發(fā)者(編寫VIEWS視圖和自定義過(guò)濾器)只需要考慮哪些數(shù)據(jù)不需要被轉(zhuǎn)意,適時(shí)的標(biāo)記數(shù)據(jù),就可以讓它們?cè)谀０逯泄ぷ鳌?/p>
如果你正在編寫一個(gè)模板而不知道是否要關(guān)閉自動(dòng)轉(zhuǎn)意,那就為所有需要轉(zhuǎn)意的變量添加一個(gè)escape過(guò)濾器。當(dāng)自動(dòng)轉(zhuǎn)意開啟時(shí)，使用escape過(guò)濾器似乎會(huì)兩次轉(zhuǎn)意數(shù)據(jù)，但其實(shí)沒(méi)有任何危險(xiǎn)。因?yàn)閑scape過(guò)濾器不作用于被轉(zhuǎn)意過(guò)的變量。

成熟丰满熟妇高潮XXXXX,人妻无码AV中文系列久久兔费 ,国产精品一国产精品,国精品午夜福利视频不卡麻豆

在Django框架中編寫Context處理器的方法

{% block title %}{% endblock %}

This & that