我正在jinja文件中构建一个JSON对象:
object_name = {
property_name: "{{ _("Some Text which might have "quotes" in it") }}"
}
然后在脚本标签中导入上述jinja2文件。
注意:_("Text")用于将其替换为翻译文本,因此小括号中的文本将被另一种语言的文本替换,因此我无法预测翻译是否会包含双引号。
有什么办法可以转义传入的引号并将它们转换为例如"之类的字符吗?
编辑
解决方案:
我们解决这个问题的方法是让Python处理所有的翻译并转义所有引号。但我们始终必须确保至少英文文本不会出现问题,无论如何,我们都可以控制......迄今为止 :)
也可以查看此文档
http://pology.nedohodnik.net/doc/user/en_US/ch-poformat.html#sec-poescapes
Jinja2从2.9版本开始具有很好的过滤器tojson。如果您将字符串转换为json,它将生成用双引号""包含的字符串。您可以在javascript中安全地使用它,而且不需要自己添加引号。
string = {{ html_string|tojson }};
jsObject = {{ py_dict|tojson }};
tojson 函数会转义引号 ",并且通过转义一些重要的符号如 <>&' 来防止 XSS 攻击。在 jinja 2.10 上进行过测试。
t = jinja2.Template('{{s|tojson}}')
r = t.render(s="""</script>"...'""")
print(r) # "\u003c/script\u003e\"...\u0027"
在 flask 中,有一个名为 tojson 的默认过滤器可以使用,或者在纯 jinja2 中,您可以创建自己的 tojson 过滤器:
>>> import json
>>> env = jinja2.Environment()
>>> env.filters['tojson'] = json.dumps
>>> tmpl = env.from_string("""\
object_name = {
property_name: {{ _(text)|tojson }}
}""")
>>> print tmpl.render({'_': lambda x: x, 'text': 'Some text with "Quotes"'})
object_name = {
property_name: "Some text with \"Quotes\""
}
tojson is great. Had a list of objects, which I needed as json array. tags | map(attribute='title') | list | tojson - luckydonald没有清楚地理解问题。如果使用单个反斜杠转义无效,则需要使用反斜杠进行转义。
object_name = {
property_name: "{{ _(\\\"Some Text which might have \\\"quotes\\\" in it\\\") }}"
}
sometext中包含文本,您可以进行如下操作:sequentially。{{sometext|replace('"',"'")|safe}}
replace。请记住,为了避免漏洞,您必须信任字符串的来源。
</script>,即使它在引号内部,浏览器也会将其解释为结束HTML标签!在其后添加另一个<script>,你就会得到一个漂亮的XSS攻击。除了替换</script>之外,我没有更好的解决方案。 - johndodo