Python中最简单的避免HTML的方法是什么？

html.escape现在是正确的答案，Python 3.2之前使用的是cgi.escape。它会对以下字符进行转义：

• < 转为 <
• > 转为 >
• & 转为 &

这已经足够处理所有的HTML了。

编辑：如果您还需要转义非ASCII字符以便在另一种编码的文档中使用，就像Craig所说的那样，只需使用：

data.encode('ascii', 'xmlcharrefreplace')

不要忘记先解码data为unicode，使用相应的编码。

但是，根据我的经验，如果从一开始就始终使用unicode，那么这种编码方式就没有用处。最好在末尾使用文档头中指定的编码进行编码（utf-8以实现最大兼容性）。

例如：

>>> cgi.escape(u'<a>bá</a>').encode('ascii', 'xmlcharrefreplace')
'&lt;a&gt;b&#225;&lt;/a&gt;

值得注意的是（感谢Greg），cgi.escape函数还有一个额外的quote参数。当将其设置为True时，cgi.escape函数会转义双引号字符（"），这样你就可以在XML/HTML属性中使用结果值。

注意，Python 3.2中已经弃用了cgi.escape函数，推荐使用html.escape函数代替，两者功能类似，只不过quote默认为True。

Python 3.2引入了一个新的html模块，用于从HTML标记中转义保留字符。

它只有一个函数escape()：

>>> import html
>>> html.escape('x > 2 && x < 7 single quote: \' double quote: "')
'x &gt; 2 &amp;&amp; x &lt; 7 single quote: &#x27; double quote: &quot;'

如果您希望在URL中避免HTML:

这可能不是OP想要的（问题没有清楚地指示需要在哪种上下文中使用转义），但Python的原生库urllib有一种方法可以安全地转义需要包含在URL中的HTML实体。

以下是一个例子：

#!/usr/bin/python
from urllib import quote

x = '+<>^&'
print quote(x) # prints '%2B%3C%3E%5E%26'

在这里查找文档

还有一个非常优秀的markupsafe包。

>>> from markupsafe import Markup, escape
>>> escape("<script>alert(document.cookie);</script>")
Markup(u'&lt;script&gt;alert(document.cookie);&lt;/script&gt;')

markupsafe软件包经过精心设计，可能是最通用和最符合Pythonic的转义方式，我个人认为，因为：

1. 返回(Markup)是从unicode派生的类（即isinstance(escape('str'), unicode) == True
2. 它可以正确处理Unicode输入
3. 它适用于Python (2.6, 2.7, 3.3, and pypy)
4. 它尊重对象的自定义方法（即带有__html__属性的对象）和模板重载（__html_format__）。

cgi.escape可以用于在有限的意义上转义HTML标签和字符实体。

但是，您可能还需要考虑编码问题：如果要引用的HTML在特定编码中具有非ASCII字符，则还必须确保在引用时以明智的方式表示这些字符。也许您可以将它们转换为实体。否则，您应该确保在“源”HTML和嵌入页面之间进行正确的编码转换，以避免损坏非ASCII字符。

无需使用任何库，纯Python实现，可以将文本安全地转换为HTML文本：

text.replace('&', '&amp;').replace('>', '&gt;').replace('<', '&lt;'
        ).replace('\'','&#39;').replace('"','&#34;').encode('ascii', 'xmlcharrefreplace')

虽然不是最简单的方法，但仍然很直接。与cgi.escape模块的主要区别在于，如果您的文本中已经有&，它仍将正常工作。从对它的评论中可以看出：

cgi.escape版本

def escape(s, quote=None):
    '''Replace special characters "&", "<" and ">" to HTML-safe sequences.
    If the optional flag quote is true, the quotation mark character (")
is also translated.'''
    s = s.replace("&", "&amp;") # Must be done first!
    s = s.replace("<", "&lt;")
    s = s.replace(">", "&gt;")
    if quote:
        s = s.replace('"', "&quot;")
    return s

正则表达式版本

QUOTE_PATTERN = r"""([&<>"'])(?!(amp|lt|gt|quot|#39);)"""
def escape(word):
    """
    Replaces special characters <>&"' to HTML-safe sequences. 
    With attention to already escaped characters.
    """
    replace_with = {
        '<': '&gt;',
        '>': '&lt;',
        '&': '&amp;',
        '"': '&quot;', # should be escaped in attributes
        "'": '&#39'    # should be escaped in attributes
    }
    quote_pattern = re.compile(QUOTE_PATTERN)
    return re.sub(quote_pattern, lambda x: replace_with[x.group(0)], word)

cgi.escape 扩展版

这个版本改进了 cgi.escape。它还保留了空格和换行符。返回一个 unicode 字符串。

def escape_html(text):
    """escape strings for display in HTML"""
    return cgi.escape(text, quote=True).\
           replace(u'\n', u'<br />').\
           replace(u'\t', u'&emsp;').\
           replace(u'  ', u' &nbsp;')

例如

>>> escape_html('<foo>\nfoo\t"bar"')
u'&lt;foo&gt;<br />foo&emsp;&quot;bar&quot;'

对于Python 2.7中的旧代码，可以通过BeautifulSoup4实现：

>>> bs4.dammit import EntitySubstitution
>>> esub = EntitySubstitution()
>>> esub.substitute_html("r&d")
'r&d'