「轉義」變量在將它傳遞給Django中的模板之前

Question

我需要將HTML代碼傳遞給messages並且我正在使用模板。

爲了獲得HTML工作，我標誌着我的模板是安全的消息：

{{消息|安全}}

然而，這讓我開攻擊因爲我在消息中顯示用戶生成的內容。例如：（！ 「真棒 \」 的要求，％s \ 「的。現在是活動的」 ％user_toy）

messages.success

如果由用戶生成的user_toy，HTML會轉義。我該如何解決？

Answer 1

我能解決這個使用escape從django.utils.html： 「真棒 \」

從django.utils.html進口逃生

messages.success（請求％s \」的是現在處於活動狀態。「％ escape（user_toy））