自动转义 autoescape

原文：autoescape 翻译：小虾米（QQ:509129）

自动转义（autoescape）

无论是否启用了自动转义，您都可以通过使用自动转义标记来标记一个模板的一个片段:

{% autoescape %}
    Everything will be automatically escaped in this block
    using the HTML strategy
{% endautoescape %}

{% autoescape 'html' %}
    Everything will be automatically escaped in this block
    using the HTML strategy
{% endautoescape %}

{% autoescape 'js' %}
    Everything will be automatically escaped in this block
    using the js escaping strategy
{% endautoescape %}

{% autoescape false %}
    Everything will be outputted as is in this block
{% endautoescape %}

当自动转义启用时，除了显式标记为安全的值外，所有东西都是默认的。这些可以通过使用raw过滤器在模板中标记:

{% autoescape %}
    {{ safe_value|raw }}
{% endautoescape %}

函数返回模板数据(如宏macros和父类parent)总是返回安全标记。

Twig足够智能，无法通过转义过滤器转义已转义的值。
Twig无法转义静态表达式:
{% set hello = "Hello" %}
{{ hello }}
{{ "world" }}
将被渲染为"Hello world"。

对于章节Twig for 开发者，提供了更多关于何时以及如何使用自动转义的信息。

Previous标签(Tags)Next块 block

Last updated 4 years ago