问题剖析：HTML标签为何被转义？

在django开发中，当我们将markdown格式的内容通过第三方库（如python-markdown2或markdown）转换为html字符串后，期望这些html能在页面上被浏览器正确渲染。然而，一个常见的问题是，转换后的html标签（例如

、

、）并没有被浏览器解析，而是直接以文本形式呈现在页面上。例如，原本期望显示为标题和段落的内容，却直接展示了

css

css is a language...

这种现象的根源在于Django模板引擎的默认行为：为了防止跨站脚本（XSS）攻击，Django会对所有通过{{ variable }}语法输出的变量内容进行自动转义。这意味着，所有潜在的HTML特殊字符（如会被转义为youjiankuohaophpcn，&会被转义为&等）都会被转换成它们的HTML实体形式。这种安全机制虽然有效，但对于我们明确希望渲染为HTML的内容，却造成了不便。

以下是导致该问题的典型代码结构：

views.py中的Markdown转换逻辑：

import markdown
from . import util

def entry(request, name):
    entry_content = util.get_entry(name) # 获取Markdown格式的原始内容
    if entry_content is not None:
        converted_html = convert(entry_content) # 将Markdown转换为HTML
        context = {
            'entry': converted_html, # 将HTML字符串传递给模板
            'name': name
        }
        return render(request, 'encyclopedia/entry.html', context)
    else:
        return render(request, "encyclopedia/404.html")

def convert(entry_text):
    # 使用markdown库将Markdown文本转换为HTML字符串
    return markdown.markdown(entry_text)

entry.html中的模板渲染：

立即学习“前端免费学习笔记（深入）”；

{% block body %}

    

        {{ entry }} {# 这里直接输出变量，导致HTML被转义 #}
    
    

        
            EDIT
        
    

{% endblock %}

在这种配置下，converted_html变量中包含的HTML字符串，在{{ entry }}处被输出时，其内部的

等标签会被Django转义，从而显示为纯文本。

解决方案：|safe过滤器

要解决这个问题，我们需要明确告诉Django模板引擎，我们传递的HTML内容是安全的，不需要进行转义。这可以通过使用Django模板语言内置的|safe过滤器来实现。

|safe过滤器的作用是标记一个字符串为“安全”的HTML，指示Django在渲染时跳过对该字符串的自动转义过程。

析稿Ai写作

科研人的高效工具：AI论文自动生成，十分钟万字，无限大纲规划写作思路。

下载

修改entry.html模板：

只需对模板中的输出语句进行简单修改，应用|safe过滤器：

{% block body %}

    

        {{ entry | safe }} {# 应用|safe过滤器，禁用自动转义 #}
    
    

        
            EDIT
        
    

{% endblock %}

通过添加|safe过滤器，当entry变量的内容被渲染时，Django将不再对其进行HTML实体转义，而是直接输出原始的HTML字符串。这样，浏览器就能正确解析并渲染出预期的样式和结构，例如，

CSS

工作原理与安全性考量

Django的自动转义机制是其安全防护的重要组成部分，旨在防止恶意用户通过注入HTML或JavaScript代码（即XSS攻击）来破坏网站或窃取用户信息。例如，如果用户在评论中输入，如果没有自动转义，这段脚本就会在其他用户的浏览器中执行。

|safe过滤器本质上是绕过了这一安全机制。因此，在使用|safe时，必须格外谨慎，并遵循以下重要原则：

1. 仅用于信任的内容： 只有当你确信所输出的HTML内容是安全无害的，并且来源可靠（例如，由你的应用程序内部生成，或者经过严格消毒和验证的用户输入），才可以使用|safe。
2. 避免直接用于用户输入： 绝不能直接将未经任何处理的用户输入与|safe过滤器结合使用。如果用户可以提交Markdown并将其转换为HTML，你应当确保Markdown转换库本身具有足够的安全防护，或者在转换后对HTML进行额外的消毒处理，以移除任何潜在的恶意脚本或标签。
3. 理解风险： 滥用|safe可能导致你的应用程序容易受到XSS攻击。一旦攻击者能够注入恶意HTML或JavaScript代码，他们就可以劫持用户会话、修改页面内容、重定向用户等。

在我们的场景中，如果entry变量的内容来源于应用程序自身的Markdown文件（如util.get_entry从文件系统读取），并且这些Markdown文件是由开发者维护的，那么使用|safe是相对安全的。因为它假定这些Markdown内容是可信的，并且由markdown.markdown库生成的HTML也是安全的。

总结

当你在Django模板中遇到Markdown转换后的HTML标签被显示为文本的问题时，最直接有效的解决方案是使用|safe过滤器。这个过滤器指示Django模板引擎将变量内容视为安全的HTML，从而禁用默认的自动转义行为，确保HTML标签能够被浏览器正确渲染。然而，务必牢记|safe过滤器的安全含义，仅在确信内容安全无害的情况下使用，以避免引入潜在的XSS漏洞。正确理解和使用|safe是构建安全且功能丰富的Django应用程序的关键。