django-wybielacz jest aplikacja Django do bielenia i dezynfekcji HTML użytkownika.
wybielacz jest moduł Pythona, który ma żadnych danych HTML i zwraca poprawny, oczyszczone HTML, który zawiera tylko dozwoloną podzbiór znaczników HTML, atrybutów i stylów. django-wybielacz jest aplikacja Django, że sprawia, że korzystanie wybielać niezwykle łatwe.
Ustawienia
1. Zainstaluj Django wybielać poprzez pip:
& Nbsp; pip zainstalować django-wybielać
2. Dodaj django-wybielacz do INSTALLED_APPS:
& Nbsp; INSTALLED_APPS = [
& Nbsp; # ...
& Nbsp; "django_bleach",
& Nbsp; # ...
& Nbsp;]
3. Wybierz pewne wartości domyślne dla dozwolonych znaczniki, atrybuty i style; i zachowanie, gdy nieznane znaczniki występują. Każdy z nich są opcjonalne i domyślnie stosuje domyślne wybielaczy. Zapoznaj się z dokumentacją wybielacza:
& Nbsp; # Które znaczniki HTML są dozwolone
& Nbsp; BLEACH_ALLOWED_TAGS = ["p", "b", "i", "u", "em", "mocny", "']
& Nbsp; # Które atrybuty HTML są dozwolone
& Nbsp; BLEACH_ALLOWED_ATTRIBUTES = ['href', "Tytuł", "styl"]
& Nbsp; # Jakie właściwości CSS są dozwolone w "stylu" atrybutów (przy założeniu,
& Nbsp; # styl jest dozwolone atrybut)
& Nbsp; BLEACH_ALLOWED_STYLES = [
& Nbsp; "font-family", "font-weight ',' text-decoration ',' font-variant ']
& Nbsp; # Strip nieznane znaczniki, jeśli prawda, zastąpić HTML uciekł znaków, jeśli
& Nbsp; # Fałsz
& Nbsp; BLEACH_STRIP_TAGS = True
& Nbsp; komentarze # Strip, lub pozostawić je w.
& Nbsp; BLEACH_STRIP_COMMENTS = False
4. Wybierz domyślny widżet pola wybielaczy. Domyślnie jest django.forms.Textarea, ale prawdopodobnie będzie chciał zastąpić go edytorem WYSIWYG, lub coś podobnego:
& Nbsp; # Użyj CKEditorWidget dla pól HTML bielone
& Nbsp; BLEACH_DEFAULT_WIDGET = "wysiwyg.widgets.WysiwygWidget"
Używam Django CKEditor w moich projektów, ale to, czego używasz należy do Ciebie.
Zastosowanie
W modelach
django-wybielacz oferuje trzy sposoby tworzenia wyjście bielone. Najprostszym sposobem na tym zawartość HTML edycji przez użytkownika, który jest automatycznie odkażane jest przy użyciu modelu pole Bleachfield:
# W app / models.py
z modeli importowych django
z django_bleach.models importować Bleachfield
Klasa Post (models.Model):
& Nbsp; title = models.CharField ()
& Nbsp; content = Bleachfield ()
& Nbsp; # ...
Bleachfield przyjmuje następujące argumenty, aby dostosować wyjście z wybielaczem. Zapoznaj się z dokumentacją wybielacza do ich stosowania:
- allowed_tags
- allowed_attributes
- allowed_styles
- strip_tags
- strip_comments
W uzupełnieniu do specyficznych argumentów bielenia, wzór field Bleachfield akceptuje wszystkie normalne cechy polowych. Za kulisami, to TextField, i akceptuje wszystkie te same argumenty jak domyślnie textfields zrobić.
Model pola Bleachfield wykorzystuje pola formularza Bleachfield zrobić wszystkie prace. Zapewnia ona sama zaplecze odkażanie nie. Uważa się to za błąd, ale czyste rozwiązanie nie zostało jeszcze zrealizowane. Wszelkie wnioski wysuwane mocowania zostanie to wdzięcznością stosowane. Tak długo, jak model pola Bleachfield jest wyłącznie z pól formularza Bleachfield, nie będzie żadnego problemu. Jeśli to nie jest przypadek, odkażane HTML nie można zagwarantować.
W formularzach
Pole formularza Bleachfield jest. To pole sanitises wejście HTML od użytkownika i prezentuje bezpieczne, czyste HTML do aplikacji Django. To jest, gdy większość prac jest wykonywana.
W szablonach
Jeśli masz peice treści z czegoś, co musi zostać wydrukowane w szablonie, możesz użyć filtra wybielacza:
{% Obciążenia bleach_tags%}
{{Some_unsafe_content | wybielacz}}
Filtr nie wymaga żadnych argumentów. . Wykorzystuje domyślne ustawienia zdefiniowane w ustawieniach aplikacji
Wymagania :
- Python
- Django
Komentarze nie znaleziono