逃生HTML

Question

我可以採用某種配置模板工具包，以便：

[% foo %] 

做什麼，你現在需要說：

[% foo | html %] 

就是逃避HTML中foo？和做其他的事情，比如：

[% foo | noHtml %] 

如果我不想逃？

Answer 1

我想你可以通過擴展Template::Stash來創建自己的存儲空間，這樣它就可以通過默認的轉義變量。

這就是說我認爲這不是一個好主意。更好地堅持默認行爲，避免自定義修改，因爲它們當然令人困惑。

Answer 2

當試圖回答同樣的問題時，遇到了您的問題。

http://search.cpan.org/~mithaldu/Template-AutoFilter/似乎做我們想要的，但它確實需要安裝另一個模塊。無論如何，我要試一試。

Answer 3

我最近在這個問題上花了一些時間。這是我的解決方案的大綱。

我創建了一個名爲HtmlSafe的新類，它包含可安全寫入WWW客戶端而沒有安全漏洞的字符串。這個想法是，生成HTML標籤的函數返回HtmlSafe對象，並且開箱即用的變量不是HtmlSafe。不管產生什麼HtmlSafe也爲所討論的字符串的安全性提供保證。使用HTML安全字符串連接非HTML安全字符串會導致非HTML安全字符串通過CGI :: escapeHTML轉義，然後使用HTML安全字符串加入。將HtmlSafe的另一個實例連接到HtmlSafe只是在不逃避的情況下加入有問題的字符串。我結束了使用超載，所以我可以重新定義。 HtmlSafe類的運算符。

有了這些東西，我給了一個$模板 - >進程（）函數$輸出變量，實際上是調用與HtmlSafe的串聯，像這樣子：

my $output = HtmlSafe->new(""); 
$template->process($vars, sub { $output .= $_[0]; }); 
return $output->unwrap(); # remove HtmlSafe and return underlying string 

我們幾乎準備就緒與HtmlSafe TT2。我必須做的最大改變是改變Template :: Directive中的textblock（）函數，Template :: Parser使用它來生成任何試圖發出的文本塊的HtmlSafe實例。這些似乎與解析模板的文本節點對應，所以只是做

package MyDirective; 
use base "Template::Directive"; 
sub textblock { my $self = shift; return "$Template::Directive::OUTPUT HtmlSafe->new(" . $self->text(@_) . ")"; } 

，我給瞭解析器，像這樣：

my $parser = Template::Parser->new({ 
    FACTORY => "MyDirective", 
}); 

除了這個，我定義的「無」過濾器對於定義爲HtmlSafe的簡單包裝的TT2，所以如果必須的話，您可以輸出原始HTML。這避免了逃脫的事情。默認的「html」過濾器是無操作的，因爲無論如何，連接到HtmlSafe的任何東西都會被轉義。