在 PHPHub 里发 Python 的内容，看起来好像有点奇怪

做Web开发的人都明白，我们应该避免在用户输入信息中出现HTML标签。比如考虑下面的Django模板信息：

Hello {{ name }}.

这看起来没什么问题，但是假如用户输入的name是下面这样的信息就麻烦了：

浏览器会解析这个信息并弹出一个对话框，这显然不是我们所希望的。毫无疑问，对于用户输入的信息，我们总是应该进行验证。你不知道是否会有一个“恶意”的用户会利用这个漏洞来做一些不好的事情。
为了避免以上问题，你有两个选择:

1. 给每个变量加上一个escape过滤器来进行HTML转义。Django刚发布那几年都是这样要求开发人员的。但是，这相当于把责任踢给了开发人员。难免会有人忘记了写这个转义过滤器。

2. 或者你可以选择使用Django的自动HTML转义功能，下面我将介绍它。

缺省情况下的转义方式是这样的：

• < 被转换为 <
• > 被转换为 >
• ’ (单引号)被转换为 '

• ” (双引号)被转换为 "
• & 被转换为 &

上面的转义规则是缺省的，所以如果你不想让某段信息被执行HTML转义，可以这样：

1. 对于单个变量，可以在其后面加上safe过滤器，告诉Django这个字符串不用进行HTML转义。比如：

This will be escaped: {{ data }}
This will not be escaped: {{ data|safe }}

如果其中的data的值是

This will be escaped:
This will not be escaped:

2. 对于一段模板内容可以使用autoescape标签，比如：

{% autoescape off %}
Hello {{ name }}
{% endautoescape %}

这里的off 参数表明被autoescape包含的信息都不需要执行HTML转义。on 参数表示需要执行HTML转义，比如有的时候你希望一段信息中大部分不需要HTML转义，但是其中某个部分需要HTML转义，可以这样：

{% autoescape off %}
This will not be auto-escaped: {{ data }}.
Nor this: {{ other_data }}
{% autoescape on %}
Auto-escaping applies again: {{ name }}
{% endautoescape %}
{% endautoescape %}

另外需要注意的一点是autoescape是存在继承性的，比如你在父模板中有一个autoescape标签并且参数为off，那么继承它的子模板也会在相应的部分继承这一特性。比如：

base.html

{% autoescape off %}
{% block title %}{% endblock %}

{% block content %}
{% endblock %}
{% endautoescape %}

child.html

{% extends "base.html" %}
{% block title %}This & that{% endblock %}
{% block content %}{{ greeting }}{% endblock %}
最后要提一下 字符串的default过滤器，比如下面这个例子：

{{ data|default:"This is a string literal." }}

如果你在default:后面的缺省值中包含了HTML特殊字符，那么是不会被转义的，比如你应该按照下面第一种的方式来写，而不是第二种：

正确的写法

{{ data|default:"3 < 2" }}

错误的写法

{{ data|default:"3 < 2" }}