前端之家收集整理的这篇文章主要介绍了
javascript – 阻止nunjucks逃避HTML,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个注释ajax
调用返回发布的注释的数据,我还内置了@mention
功能,服务器端正在处理@mentions并对提到的
用户做一个str_replace用响应中的一个
标签替换他们的名字,例如:
{
data: {
comment: "<a href=\"profile/derp\">Username</a> hey what's up"
}
}
但是我似乎无法在文档中找到如何允许nunjucks将其打印为实际的HTML,它会将其转义并显示代码而不是让它成为真正的标记.
有谁知道如何将其打印为实际标签?
谢谢
好吧,我发布后我几乎立即找到了答案!对于任何其他人来说,只是这个;在您打印变量的模板中
添加安全过滤器,这将禁用
自动转义.
{{ comment.content|safe }}
虽然这意味着它易受XSS注入攻击,但请确保在服务器端添加保护.
原文链接:https://www.f2er.com/js/156770.html
