模板

控制自动转义

自动转义的概念是自动转义特殊字符。 HTML （或 XML ，因此也有 XHTML ）意义下 的特殊字符是 & ， > ， < ， " 以及 ' 。因为这些字符在 文档中表示它们特定的含义，如果你想在文本中使用它们，应该把它们替换成相应 的“实体”。不这么做不仅会导致用户疲于在文本中使用这些字符，也会导致安全问题。 （见 跨站脚本攻击（XSS） ）

虽然你有时会需要在模板中禁用自动转义，比如在页面中显式地插入 HTML ， 可以是一个来自于 markdown 到 HTML 转换器的安全输出。

我们有三种可行的解决方案:

• 在传递到模板之前，用 Markup 对象封装 HTML字符串。一般推荐这个方法。
• 在模板中，使用 |safe 过滤器显式地标记一个字符串为安全的 HTML （ {{ myvariable|safe }} ）。
• 临时地完全禁用自动转义系统。

在模板中禁用自动转义系统，可以使用 {%autoescape %} 块:

{% autoescape false %}
    <p>autoescaping is disabled here
    <p>{{ will_not_be_escaped }}
{% endautoescape %}

无论何时，都请务必格外小心这里的变量。

注册过滤器

如果你要在 Jinja2 中注册你自己的过滤器，你有两种方法。你可以把它们手动添加到 应用的 jinja_env 或者使用 template_filter() 装饰器。

下面两个例子作用相同，都是反转一个对象:

@app.template_filter('reverse')
def reverse_filter(s):
    return s[::-1]

def reverse_filter(s):
    return s[::-1]
app.jinja_env.filters['reverse'] = reverse_filter

在使用装饰器的情况下，如果你想以函数名作为过滤器名，参数是可选的。注册之后， 你可以在模板中像使用 Jinja2 内置过滤器一样使用你的过滤器，例如你在上下文中有 一个名为 mylist 的 Python 列表:

{% for x in mylist | reverse %}
{% endfor %}

上下文处理器

Flask 上下文处理器自动向模板的上下文中插入新变量。上下文处理器在模板 渲染之前运行，并且可以在模板上下文中插入新值。上下文处理器是一个返回字典 的函数，这个字典的键值最终将传入应用中所有模板的上下文:

@app.context_processor
def inject_user():
    return dict(user=g.user)

上面的上下文处理器使得模板可以使用一个名为 user ，值为 g.user 的变量。 不过这个例子不是很有意思，因为 g 在模板中本来就是可用的，但它解释 了上下文处理器是如何工作的。

变量不仅限于值，上下文处理器也可以使某个函数在模板中可用（由于 Python 允 许传递函数）:

@app.context_processor
def utility_processor():
    def format_price(amount, currency=u'€'):
        return u'{0:.2f}{1}.format(amount, currency)
    return dict(format_price=format_price)

上面的上下文处理器使得 format_price 函数在所有模板中可用:

{{ format_price(0.33) }}

你也可以构建 format_price 为一个模板过滤器（见 注册过滤器 ）， 但这展示了上下文处理器传递函数的工作过程。