Jinja2 का उपयोग कर जावास्क्रिप्ट के लिए स्ट्रिंग से बचें?

Question

मैं Jinja2 के साथ HTML से कैसे बचूं ताकि इसे जावास्क्रिप्ट (jQuery) में स्ट्रिंग के रूप में उपयोग किया जा सके?

अगर मैं Django के templating प्रणाली उपयोग कर रहे थे मैं लिख सकते हैं:

$("#mydiv").append("{{ html_string|escapejs }}"); 

Django के |escapejs filterhtml_string में बातें (जैसे उद्धरण, विशेष वर्ण) है कि इस कोड ब्लॉक के इच्छित उपयोग को तोड़ सकते थे बच जाएगा, लेकिन Jinja2 करता है प्रतीत होता है कि समकक्ष फ़िल्टर नहीं है (क्या मैं यहां गलत हूं?)।

क्या Django से कोड कॉपी/पेस्ट करने से क्लीनर समाधान है?

Answer 1

मुझे पिछले साल इसी तरह की समस्या का सामना करना पड़ा। सुनिश्चित नहीं है कि आप bottle का उपयोग कर रहे हैं, लेकिन मेरे समाधान ने ऐसा कुछ देखा।

import json 

def escapejs(val): 
    return json.dumps(str(val)) # *but see [Important Note] below to be safe 

@app.route('/foo') 
def foo(): 
    return bottle.jinja2_template('foo', template_settings={'filters': {'escapejs': escapejs}}) 

(मैं के बाद से मैं इसे हर जगह इस्तेमाल किया एक सहायक समारोह में template_settings dict लिपटे, लेकिन मैं इसे इस उदाहरण में सरल रखा है।)

दुर्भाग्य से, यह एक builtin jinja2 फिल्टर के रूप में सरल नहीं है, लेकिन मैं खुशी से इसके साथ रहने में सक्षम था - विशेष रूप से यह मानते हुए कि मेरे पास जोड़ने के लिए कई अन्य कस्टम फ़िल्टर भी थे।

महत्वपूर्ण नोट: नीचे दी गई अपनी अजीब टिप्पणी के लिए @ मेडमुंड्स को हैट टिप, हमें याद दिलाता है कि json.dumps XSS- सुरक्षित नहीं है। IOW, आप इसे एक उत्पादन, इंटरनेट-फेस सर्वर में उपयोग नहीं करना चाहेंगे। अनुशंसा safer json escape routine लिखना है (या चोरी django's - माफ करना ओपी, मुझे पता है कि आप इससे बचने की उम्मीद कर रहे थे) और json.dumps का उपयोग करने के बजाय कॉल करें।

Answer 2

आप जिंजा 2 के autoescape का भी उपयोग कर सकते हैं। तो, उदाहरण के लिए, आप autoescape अपने jinja2 पर्यावरण के लिए अजगर में जोड़ सकते हैं:

JINJA_ENVIRONMENT = jinja2.Environment(
    loader=jinja2.FileSystemLoader(os.path.dirname(__file__)), 
    autoescape=True) 

वैकल्पिक रूप से, आप इस्तेमाल कर सकते हैं Autoescape एक्सटेंशन जिंजा 2.4 में जोड़ा जहां autoescaping HTML में प्रयोग किया जाता है पर अधिक नियंत्रण है करने के लिए। इस here और उदाहरण (Google ऐप इंजन में) here पर अधिक जानकारी।

पायथन:

JINJA_ENVIRONMENT = jinja2.Environment(
    loader=jinja2.FileSystemLoader(os.path.dirname(__file__)), 
    extensions=['jinja2.ext.autoescape']) 

HTML:

{% autoescape true %} 
    <html> 
     <body> 
      {{ IWillBeEscaped }} 
     </body> 
    </html> 
{% endautoescape %} 

Answer 3

यह एक escapejs फिल्टर, Django के आधार पर है कि मैं Jinja2 टेम्प्लेट में उपयोग के लिए लिखा है:

_js_escapes = { 
     '\\': '\\u005C', 
     '\'': '\\u0027', 
     '"': '\\u0022', 
     '>': '\\u003E', 
     '<': '\\u003C', 
     '&': '\\u0026', 
     '=': '\\u003D', 
     '-': '\\u002D', 
     ';': '\\u003B', 
     u'\u2028': '\\u2028', 
     u'\u2029': '\\u2029' 
} 
# Escape every ASCII character with a value less than 32. 
_js_escapes.update(('%c' % z, '\\u%04X' % z) for z in xrange(32)) 
def jinja2_escapejs_filter(value): 
     retval = [] 
     for letter in value: 
       if _js_escapes.has_key(letter): 
         retval.append(_js_escapes[letter]) 
       else: 
         retval.append(letter) 

     return jinja2.Markup("".join(retval)) 
JINJA_ENVIRONMENT.filters['escapejs'] = jinja2_escapejs_filter 

उदाहरण टेम्पलेट में सुरक्षित उपयोग:

<script type="text/javascript"> 
<!-- 
var variableName = "{{ variableName | escapejs }}"; 
… 
//--> 
</script> 

जब variableName str या unicode है।

Answer 4

मैं सिर्फ इस समस्या को शोध किया, मेरे समाधान एक फिल्टर परिभाषित करने के लिए है:

from flask import Flask, Markup 
app = Flask(__name__) 
app.jinja_env.filters['json'] = lambda v: Markup(json.dumps(v)) 

और टेम्पलेट में:

<script> 
var myvar = {{myvar|json}} ; 
</script> 

यह अच्छा विशेषता यह है कि myVar कुछ भी हो सकता है कि JSON-serialized

नवीनतम प्रश्न

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.

 संबंधित मुद्दे

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.