前言

• 根据前篇Django模型model分享，接着本篇文章分享下Django模板template，本篇内容包括：

  • 模板的定义
  • 模板的继承
  • HTML转义
  • CSRF

1. 模板的定义

• 模板定义之前首先了解下模板语法，主要包括：

  • 模板变量 {{ variable }}

    • 变量名必须由字母、数字、下划线（不能以下划线开头）和点组成
    • 当模版引擎遇到一个变量，将计算这个变量，然后将结果输出
    • 如果变量不存在， 模版系统将插入'' (空字符串)

  • 模板标签 { % 代码块 % }

    • 控制循环或逻辑
    • 加载外部信息到本模板中使用

    { % for test1 in array %}
    循环逻辑
    {{forloop.counter}}表示当前是第几次循环
    { %empty%}
    给出的列表不存在时，执行此处逻辑
    { %endfor%}

    { %if ...%}
    逻辑1
    { %elif ...%}
    逻辑2
    { %else%}
    逻辑3
    { %endif%}

    include：加载模板并以标签内的参数渲染
    { %include "foo/bar.html" % }

    url：反向解析
    { % url 'namespace:name' pagram1 pagram2 %}

    csrf_token：这个标签用于跨站请求伪造保护
    { % csrf_token %}

    布尔标签：and、or，and比or的优先级高

  • 模板过滤器

  • 模板注释

    { % comment % }
    多行注释
    { % endcomment % }

    {# 代码或html #} 单行注释

• 当模版引擎遇到点(".")，会按照下列顺序查询：

  • 字典查询，例如：foo["name"]
  • 属性或方法查询，例如：foo.name
  • 数字索引查询，例如：foo[name]

• 在模板中调用方法时不能传递参数

  {{test.showTitle}}，test是模型类对象调用模型类中showTitle方法，此时不能传递参数

• 模板过滤器

  • 语法：{ { 变量|过滤器 }}，使用管道符号 (|)来应用过滤器

  • 可以在if、for等标签中使用过滤器结合运算符

    if list|length > 1

  • 过滤器能够“串联”使用，构成过滤器链

    title|lower|upper

  • 过滤器可以传递参数，参数使用引号包起来

    array|join:", "

  • default：如果一个变量没有被提供，或者值为false或空，则使用默认值，否则使用变量的值

    value|default:"什么也没有"

  • date：根据给定格式对一个date变量格式化

    value|date:'Y-m-d'

2. 模板的继承

• 模板继承可以减少页面内容的重复定义，实现页面内容的重用

• 模板继承所用的模板标签block，在父模板中定义预留区域

  { %block 标示名%}

  可以定义默认值
  如果不定义默认值，则表示空字符串
  { %endblock 标示名%}

• 子模板继承父模板，写在模板最前面

  { % extends "base.html" %}

• 在子模板中使用block填充预留区域

  { %block 标示名%}
  需要填充的内容
  { %endblock 标示名%}

3. HTML转义

• html转义，就是将包含的html标签输出，而不被解释执行

• Django会将如下字符自动转义：

  < 会转换为'&lt';
  会转换为'&gt';
  ' (单引号) 会转换为'&#39';
  " (双引号)会转换为 '&quot';
  & 会转换为 '&amp';

• 使用escape过滤器

  {{t1|escape}}

• 关闭转义

  • 对于变量使用safe过滤器

    {{ data|safe }}

  • 对于代码块使用autoescape标签，标签autoescape接受on或者off参数，自动转义标签在base模板中关闭，在child模板中也是关闭的

    { % autoescape off %}
    {{ body }}
    { % endautoescape %}

• 手动转义

  { { data|default:"<b>123456</b>" }}

4. CSRF：跨站请求伪造

• 某些恶意网站上包含链接、表单按钮或者JavaScript，它们会利用登录过的用户在浏览器中的认证信息试图在你的网站上完成某些操作，这就是跨站攻击

• 创建视图csrf1用于展示表单，csrf2用于接收post请求

• 防csrf的使用

  • 将settings.py中的中间件代码'django.middleware.csrf.CsrfViewMiddleware'注释
  • 在csrf1.html中添加标签

    {% csrf_token %}

• 取消保护

  • 如果某些视图不需要保护，可以使用装饰器csrf_exempt，模板中也不需要写标签，修改csrf2的视图如下

    from django.views.decorators.csrf import csrf_exempt
    @csrf_exempt
    def csrf2(request):
    pass

• 保护机制

  <input type='hidden' name='csrfmiddlewaretoken' value='nGjAB3Md9ZSb4NmG1sXDolPmh3bR2g59' />

• 在浏览器的调试工具中，通过network标签可以查看cookie信息

• 当提交请求时，中间件'django.middleware.csrf.CsrfViewMiddleware'会对提交的cookie及隐藏域的内容进行验证，如果失败则返回403错误