我在 Django 上有一个网站项目,在 html 页面中包含以下代码:
<strong>{{portfolio.begin|safe}} - {{portfolio.finish|safe}}:</strong> {{portfolio.location|safe}}
<strong>Должность:</strong> {{portfolio.specialization|safe}}
<strong>Дополнительная информация:</strong> {{portfolio.responsibilities|safe}}
<strong>Достижения:</strong> {{portfolio.progress|safe}}
我决定研究一下网络服务器安全性。并了解到以这种方式从数据库填写信息是不安全的。问题是,使用这样的参数安全吗?将参数从数据库传递到html的最佳方法是什么???所有代码都在这里:https://github.com/it38dato/MyPortfolio/blob/main/dato138it/david138it/index.html
根据文档,
safe将该值标记为已经安全。这意味着模板系统将不再使其安全使用autoescape,这是一个漏洞。要了解在特定情况下要做什么,您需要弄清楚您存储的内容是文本还是 HTML。以及它是如何到达那里的等等。