在 PHPHub 里发 Python 的内容，看起来好像有点奇怪

做 Web 开发的人都明白，我们应该避免在用户输入信息中出现 HTML 标签。比如考虑下面的 Django 模板信息：

Hello {{ name }}.

这看起来没什么问题，但是假如用户输入的 name 是下面这样的信息就麻烦了：

浏览器会解析这个信息并弹出一个对话框，这显然不是我们所希望的。毫无疑问，对于用户输入的信息，我们总是应该进行验证。你不知道是否会有一个 “恶意” 的用户会利用这个漏洞来做一些不好的事情。
为了避免以上问题，你有两个选择:

1. 给每个变量加上一个 escape 过滤器来进行 HTML 转义。Django 刚发布那几年都是这样要求开发人员的。但是，这相当于把责任踢给了开发人员。难免会有人忘记了写这个转义过滤器。

2. 或者你可以选择使用 Django 的自动 HTML 转义功能，下面我将介绍它。

缺省情况下的转义方式是这样的：

・< 被转换为 <
・> 被转换为 >
・’ (单引号) 被转换为 '

・” (双引号) 被转换为 "
・& 被转换为 &

上面的转义规则是缺省的，所以如果你不想让某段信息被执行 HTML 转义，可以这样：

1. 对于单个变量，可以在其后面加上 safe 过滤器，告诉 Django 这个字符串不用进行 HTML 转义。比如：

This will be escaped: {{ data }}
This will not be escaped: {{ data|safe }}

如果其中的 data 的值是

This will be escaped:
This will not be escaped:

2. 对于一段模板内容可以使用 autoescape 标签，比如：

{% autoescape off %}
Hello {{ name }}
{% endautoescape %}

这里的 off 参数表明被 autoescape 包含的信息都不需要执行 HTML 转义。on 参数表示需要执行 HTML 转义，比如有的时候你希望一段信息中大部分不需要 HTML 转义，但是其中某个部分需要 HTML 转义，可以这样：

{% autoescape off %}
This will not be auto-escaped: {{ data }}.
Nor this: {{ other_data }}
{% autoescape on %}
Auto-escaping applies again: {{ name }}
{% endautoescape %}
{% endautoescape %}

另外需要注意的一点是 autoescape 是存在继承性的，比如你在父模板中有一个 autoescape 标签并且参数为 off，那么继承它的子模板也会在相应的部分继承这一特性。比如：

base.html#

{% autoescape off %}
{% block title %}{% endblock %}

{% block content %}
{% endblock %}
{% endautoescape %}

child.html#

{% extends "base.html" %}
{% block title %}This & that{% endblock %}
{% block content %}{{ greeting }}{% endblock %}
最后要提一下 字符串的 default 过滤器，比如下面这个例子：

{{ data|default:"This is a string literal." }}

如果你在 default: 后面的缺省值中包含了 HTML 特殊字符，那么是不会被转义的，比如你应该按照下面第一种的方式来写，而不是第二种：

正确的写法#

{{ data|default:"3 < 2" }}

错误的写法#

{{ data|default:"3 < 2" }}