0
我希望最終用戶能夠在線編輯他們的視圖模板,因此它必須是安全的或「監獄」的,以便只有我明確推送到視圖頁的對象才能被訪問。Django的視圖模板標記是否適合最終用戶編輯,如導軌液體模板?
即我不想讓最終用戶能夠編寫Python代碼,或找出我的連接字符串信息等等,等等
是Django的針對這種類型的使用意見安全模板標記?
A
回答
1
據我所知,Django模板對於這類代碼是安全的。
除了模板中可以執行的簡單循環/分支之外,唯一一種邏輯是註冊爲模板標籤或過濾器的任何類型。 TT或過濾器只能通過後端代碼註冊。
在這裏你可以看到模板標籤和過濾器的列表:你一定要確保設置對象ISN:http://docs.djangoproject.com/en/dev/ref/templates/builtins/?from=olddocs大部分只是對字符串或日期等
乾杯
編輯工作在模板上下文中不可用。
1
Django模板大部分是安全的,但這是基於您暴露給模板上下文的內容。
最大的問題是將對象暴露給模板,因爲所有方法都被傳遞。對於傳遞給模板和最容易受到攻擊的最常見對象QuerySets尤其如此。
如果您通過從視圖文章模板
articles = Articles.objects.all()
我可以做到以下幾點
{% for article in articles %}
{{ article.delete }}
{% endfor %}
相關問題
- 1. 遞歸液體標記/液體模板
- 2. python是否有一個安全的,用戶可編輯的腳本標記模板像RoR的液體?
- 3. 液體模板4
- 4. 使用Rspec測試導軌中的液體模板
- 5. 編輯Django用戶管理模板
- 6. 導軌重用視圖模板
- 7. 如何逃脫液體模板標籤?
- 8. 帶用戶可編輯模板的導軌郵件
- 9. Node.js的液體模板
- 10. 軌+液體的錯誤 - 液錯誤:沒有這樣的模板
- 11. 導軌 - 循環不打印數據中液體模板
- 12. 液體模板不解析!
- 13. Shopify液體模板調試
- 14. Rails最終用戶模板引擎:液體vs鬍鬚與其他?
- 15. 液體模板地圖過濾器
- 16. 液體模板標記可以用於Coffeescript嗎?
- 17. Django模板塊標記
- 18. Django-cms show_breadcrumb模板標記
- 19. Django模板ifequal標記
- 20. 如何在模板標記中使用Django模板變量
- 21. 液體是否與wysiwyg編輯一起工作? - 導軌
- 22. 如何檢查是否提供液體模板的所有值?
- 23. 結合多個Django視圖/模板
- 24. 電子郵件模板的液體標記
- 25. 編輯查看模板剃刀視圖
- 26. Django模板邏輯
- 27. Suit/Django模板是否可編輯用於管理面板的自定義?
- 28. 導軌 - 使用HTML模板
- 29. 標記如果在模板Django的
- 30. 是否可以在液體模板中進行AJAX調用?