我想将字典从 django 视图传递到 javascript 文件。该词典是根据站点用户填充的数据库构建的。这两种方法在安全性方面有什么区别?
var mydata = JSON.parse("{{mydata|escapejs}}");
var mydata = {{ mydata|safe }};
此外,doc at django 对escapejs 这么说:这不会使字符串在 HTML 中安全使用。你能给我举个例子说明它是如何不安全的吗?我怎样才能让它安全。
【问题讨论】:
{'fruit':['apple','banana'], 'servings':'2'}
标签: javascript django json django-templates django-views
对于 2019 年遇到此问题的任何人,Django 现在提供了第三个选项,即 |json_script 模板过滤器。此过滤器负责正确序列化和转义您的 Python 对象以在 HTML 中使用。
来自docs,使用带有不安全字符my_data = {'hello': 'world</script>&amp;'}的示例数据:
{{ my_data|json_script:"my-data" }}
呈现给
<script id="my-data" type="application/json">
{"hello": "world\\u003C/script\\u003E\\u0026amp;"}
</script>
然后您可以通过 Javascript 访问这些数据
var value = JSON.parse(document.getElementById('my-data').textContent);
【讨论】:
django.utils.html.json_script()
以下字典可以在没有正确转义的情况下破坏您的页面:
{'x':'</script><b>HELLO</b>'}
在标签内,您可以在您的视图中json.dumps,然后使用escapejs 来保证安全。
(我相信解释的意思是,如果你想在 HTML 中显示 json.dumps 的输出,比如说在 <pre> 标记中,只需确保不使用 safe 或 escapejs 来对其进行转义。 )
【讨论】: