Шаблонные переменные Django и Javascript

Question

Шаблонные переменные Django и Javascript

155

Когда я создаю страницу с помощью средства визуализации Django, я могу передать переменную словаря, содержащую различные значения, чтобы манипулировать ими на странице с помощью {{ myVar }}.

Есть ли способ получить доступ к одной и той же переменной в Javascript (возможно, используя DOM, я не знаю, как Django делает переменные доступными)? Я хочу иметь возможность искать информацию, используя поиск AJAX, основанный на значениях, содержащихся в переданных переменных.

AlMcLean 18 нояб. 2008, в 12:50

Источник

Теги:

django

javascript

python

django-templates

google-app-engine

11 ответов

45

ПРЕДОСТЕРЕЖЕНИЕ Проверить флажок # 17419 для обсуждения добавления подобного тега в ядро Django и возможных уязвимостей XSS, введенных с помощью этот тег шаблона с пользовательскими данными. Comment от amacneil обсуждает большую часть проблем, поднятых в билете.

Я думаю, что самый гибкий и удобный способ сделать это - определить фильтр шаблонов для переменных, которые вы хотите использовать в JS-коде. Это позволяет гарантировать, что ваши данные будут правильно экранированы, и вы можете использовать его со сложными структурами данных, такими как dict и list. Вот почему я пишу этот ответ, несмотря на то, что есть принятый ответ с большим количеством проблем.

Вот пример фильтра шаблонов:

// myapp/templatetags/js.py

from django.utils.safestring import mark_safe
from django.template import Library

import json


register = Library()


@register.filter(is_safe=True)
def js(obj):
    return mark_safe(json.dumps(obj))

Этот шаблон фильтрует преобразование переменной в строку JSON. Вы можете использовать его так:

// myapp/templates/example.html

{% load js %}

<script type="text/javascript">
    var someVar = {{ some_var | js }};
</script>

Yaroslav Admin 28 авг. 2014, в 02:04

3

Это хорошо, потому что он позволяет копировать только некоторые входные переменные шаблона Django в Javascript, и серверный код не должен знать, какие структуры данных должны использоваться Javascript и, следовательно, преобразовываться в JSON перед рендерингом шаблона Django. Либо используйте это, либо всегда копируйте все переменные Django в Javascript.
Alan Evangelista 20 нояб. 2014, в 19:22
0

Но обратите внимание: stackoverflow.com/questions/23752156/…
Ciro Santilli 新疆改造中心六四事件法轮功 03 июнь 2016, в 14:12
0

Ницца. Это то же самое, что просто использовать docs.djangoproject.com/en/1.10/ref/templates/builtins/#safe ?
Jorge Orpinel 30 май 2017, в 03:38
0

@JorgeOrpinel Нет, это не то же самое. safe only помечает значение как безопасное, без надлежащего преобразования и экранирования.
Yaroslav Admin 30 май 2017, в 10:52
1

Как вы тогда отображаете переменную в шаблоне django?
kbdev 14 июнь 2017, в 17:33
0

Кто-нибудь может мне сказать, как бы вы получили доступ к этой переменной во внешнем файле JavaScript? но безопасный способ.
Ahtisham 21 дек. 2017, в 12:51
0

@YaroslavAdmin, разве не проблема, что для этого решения требуется постоянное хранение JavaScript в файле шаблона? Большинство проектов, которые я видел, хранят javascript в отдельной js-папке. Я пробовал ваше решение, и оно не работает с JS в отдельной папке.
Sahand 21 дек. 2017, в 16:46
1

@ Санди, когда я отправлял его, было обычным иметь виджет в отдельном файле JS и инициализировать его в исходном коде страницы. function myWidget(config) { /* implementation */ } вы объявляете function myWidget(config) { /* implementation */ } в файле JS, а затем используете ее на некоторых страницах, используя myWidget({{ pythonConfig | js }}) . Но вы не можете использовать его в файлах JS (как вы заметили), поэтому он имеет свои ограничения.
Yaroslav Admin 21 дек. 2017, в 16:55

Показать ещё 6 комментариев

38

Решение, которое сработало для меня, использует скрытое поле ввода в шаблоне

<input type="hidden" id="myVar" name="variable" value="{{ variable }}">

Затем, получив значение в javascript таким образом,

var myVar = document.getElementById("myVar").value;

bosco- 13 дек. 2011, в 02:15

3

будь осторожен, хотя. в зависимости от того, как вы используете переменную / форму, пользователь может добавить что угодно.
AndyL 02 май 2012, в 23:24
1

Вы также можете установить поле ввода только для чтения (см. эту ссылку w3schools.com/tags/att_input_readonly.asp ).
nu everest 20 дек. 2012, в 13:53
0

Если это что-то, что не изменит базу данных или не будет отправлено в запрос к базе данных, это было бы хорошо. @AndyL
James111 08 фев. 2016, в 22:18
2

Ребята ... пользователи могут делать то, что они хотят в любом случае. Браузеры делают это так легко с помощью полнофункционального инспектора DOM и инструментов отладки. Мораль этой истории: ВСЕ вы проверяете данные на сервере .
user2867288 18 фев. 2017, в 07:14
1

Кто-нибудь может мне сказать, как бы вы получили доступ к этой переменной во внешнем файле JavaScript?
Ahtisham 21 дек. 2017, в 12:54
0

Ахтишам, ты получаешь это, делая то, что сделал Боско: var myVar = document.getElementById("myVar").value; , Это будет работать, если JavaScript выполняется на той же странице, что и скрытый элемент ввода.
Sahand 21 дек. 2017, в 14:57

Показать ещё 4 комментария

8

Для словаря, вы лучше всего кодируете JSON. Вы можете использовать simplejson.dumps() или если вы хотите преобразовать из модели данных в App Engine, вы можете использовать encode() из библиотеки GQLEncoder.

jamtoday 20 нояб. 2008, в 09:15

2

Этот подход сработал после того, как я выключил django autoescape.
Ivo Bosticky 21 май 2012, в 15:05
0

Обратите внимание, что, начиная с django 1.7, «simplejson» стал «json».
fiveclubs 21 сен. 2015, в 17:11

7

Когда переменная возвращается Django, она превращает все кавычки в ". Использование {{someDjangoVariable|safe}} вызывает ошибку Javascript.

Чтобы исправить это, используйте Javascript .replace:

<script type="text/javascript"> 
    var json = "{{someDjangoVariable}}".replace(/&quot;/g,"\"")
</script>

Jon Sakas 07 авг. 2013, в 04:27

0

Я никогда не думал об этом ... отличная идея!
domachine 07 март 2014, в 12:13
2

Используйте escapejs шаблон escapejs вместо .replace(..)
user 17 авг. 2014, в 10:47

6

Вот что я делаю очень легко: Я изменил файл base.html для своего шаблона и поместил его внизу:

{% if DJdata %}
    <script type="text/javascript">
        (function () {window.DJdata = {{DJdata|safe}};})();
    </script>
{% endif %}

то когда я хочу использовать переменную в файлах javascript, я создаю словарь DJdata и добавляю его в контекст json: context['DJdata'] = json.dumps(DJdata)

Надеюсь, что это поможет!

Alexis Parakian 13 март 2015, в 14:17

2

Это потрясающе, спасибо!
mAvbig 11 нояб. 2015, в 12:56

3

Я столкнулся с проблемой simillar, и ответ, предложенный S.Lott, работал на меня.

<script type="text/javascript"> 
   var a = "{{someDjangoVariable}}"
</script>

Однако я хотел бы указать здесь значительное ограничение реализации. Если вы планируете разместить свой javascript-код в другом файле и включить этот файл в свой шаблон. Это не сработает.

Это работает только тогда, когда основной шаблон и код javascript находятся в одном файле. Возможно, команда django может решить эту проблему.

Conquistador 07 окт. 2015, в 18:08

1

Как мы можем преодолеть это?
Csaba Toth 08 июль 2016, в 18:28
1

Чтобы преодолеть это, вы можете разместить глобальные переменные Javascript, как показано в примере, перед тем как включить статический файл Javascript. Таким образом, ваш статический файл Javascript будет иметь доступ ко всем глобальным переменным.
Bobort 01 март 2017, в 21:33

1

Я тоже боролся с этим. На первый взгляд кажется, что вышеуказанные решения должны работать. Однако архитектура django требует, чтобы у каждого html файла были свои отображаемые переменные (то есть {{contact}} отображается в contact.html, а {{posts}} - например, index.html и т.д.). С другой стороны, теги <script> появляются после {%endblock%} в base.html от которого наследуются contact.html и index.html. Это в основном означает, что любое решение, включая

<script type="text/javascript">
    var myVar = "{{ myVar }}"
</script>

обязательно потерпит неудачу, потому что переменная и скрипт не могут сосуществовать в одном и том же файле.

Простое решение, которое я в конечном итоге придумал и сработало для меня, заключалось в том, чтобы просто обернуть переменную тегом с id и затем обратиться к нему в файле js, например, так:

// index.html
<div id="myvar">{{ myVar }}</div>

а потом:

// somecode.js
var someVar = document.getElementById("myvar").innerHTML;

и просто <script src="/somecode.js"></script> в base.html как обычно. Конечно, это только получение контента. Что касается безопасности, просто следуйте другим ответам.

Shoval Sadde 10 нояб. 2018, в 00:38

0

Начиная с Django 2.1, новый встроенный тег шаблона был введен специально для этого json_script использования: json_script.

https://docs.djangoproject.com/en/2.1/ref/templates/builtins/#json-script.

Новый тег безопасно сериализует значения шаблона и защищает от XSS.

Jon Sakas 19 янв. 2019, в 20:09

0

Обратите внимание, что если вы хотите передать переменную во внешний скрипт .js, то вам нужно предшествовать вашему тегу скрипта с другим тегом скрипта, который объявляет глобальную переменную.

<script type="text/javascript">
    var myVar = "{{ myVar }}"
</script>

<script type="text/javascript" src="{% static "scripts/my_script.js" %}"></script>

data определяются в представлении как обычно в get_context_data

def get_context_data(self, *args, **kwargs):
    context['myVar'] = True
    return context

Daniel Kislyuk 16 окт. 2018, в 05:45

0

Для объекта JavaScript, хранящегося в поле Django в качестве текста, который должен снова стать объектом JavaScript, динамически вставленным на страницу script, вам необходимо использовать как escapejs, так и JSON.parse():

var CropOpts = JSON.parse("{{ profile.last_crop_coords|escapejs }}");

Django escapejs корректно обрабатывает цитирование, а JSON.parse() преобразует строку обратно в объект JS.

shacker 07 март 2017, в 20:01

Ещё вопросы

Это хорошо, потому что он позволяет копировать только некоторые входные переменные шаблона Django в Javascript, и серверный код не должен знать, какие структуры данных должны использоваться Javascript и, следовательно, преобразовываться в JSON перед рендерингом шаблона Django. Либо используйте это, либо всегда копируйте все переменные Django в Javascript.
Но обратите внимание: stackoverflow.com/questions/23752156/…
Ницца. Это то же самое, что просто использовать docs.djangoproject.com/en/1.10/ref/templates/builtins/#safe ?
@JorgeOrpinel Нет, это не то же самое. safe only помечает значение как безопасное, без надлежащего преобразования и экранирования.
Как вы тогда отображаете переменную в шаблоне django?
Кто-нибудь может мне сказать, как бы вы получили доступ к этой переменной во внешнем файле JavaScript? но безопасный способ.
@YaroslavAdmin, разве не проблема, что для этого решения требуется постоянное хранение JavaScript в файле шаблона? Большинство проектов, которые я видел, хранят javascript в отдельной js-папке. Я пробовал ваше решение, и оно не работает с JS в отдельной папке.
@ Санди, когда я отправлял его, было обычным иметь виджет в отдельном файле JS и инициализировать его в исходном коде страницы. function myWidget(config) { /* implementation */ } вы объявляете function myWidget(config) { /* implementation */ } в файле JS, а затем используете ее на некоторых страницах, используя myWidget({{ pythonConfig | js }}) . Но вы не можете использовать его в файлах JS (как вы заметили), поэтому он имеет свои ограничения.
будь осторожен, хотя. в зависимости от того, как вы используете переменную / форму, пользователь может добавить что угодно.
Вы также можете установить поле ввода только для чтения (см. эту ссылку w3schools.com/tags/att_input_readonly.asp ).
Если это что-то, что не изменит базу данных или не будет отправлено в запрос к базе данных, это было бы хорошо. @AndyL
Ребята ... пользователи могут делать то, что они хотят в любом случае. Браузеры делают это так легко с помощью полнофункционального инспектора DOM и инструментов отладки. Мораль этой истории: ВСЕ вы проверяете данные на сервере .
Кто-нибудь может мне сказать, как бы вы получили доступ к этой переменной во внешнем файле JavaScript?
Ахтишам, ты получаешь это, делая то, что сделал Боско: var myVar = document.getElementById("myVar").value; , Это будет работать, если JavaScript выполняется на той же странице, что и скрытый элемент ввода.
Этот подход сработал после того, как я выключил django autoescape.
Обратите внимание, что, начиная с django 1.7, «simplejson» стал «json».
Я никогда не думал об этом ... отличная идея!
Используйте escapejs шаблон escapejs вместо .replace(..)
Чтобы преодолеть это, вы можете разместить глобальные переменные Javascript, как показано в примере, перед тем как включить статический файл Javascript. Таким образом, ваш статический файл Javascript будет иметь доступ ко всем глобальным переменным.

S.Lott · Accepted Answer · 2008-11-18T14-26-00.000Z

246

Лучший ответ

{{variable}} подставляется непосредственно в HTML. Использовать источник просмотра; это не "переменная" или что-то в этом роде. Он просто визуализировал текст.

Сказав это, вы можете поместить такую замену в свой JavaScript.

<script type="text/javascript"> 
   var a = "{{someDjangoVariable}}";
</script>

Это дает вам "динамический" javascript.

S.Lott 18 нояб. 2008, в 14:26

22

Обратите внимание, что в соответствии с этим решением это уязвимо для инъекционных атак
Casebash 13 июнь 2010, в 06:13
13

@Casebash: для таких случаев существует фильтр escapejs : escapejs('<>') -> u'\\u003C\\u003E'
Tomasz Zielinski 23 авг. 2011, в 10:54
21

Просто добавим к этому для справки: если «someDjangoVariable», как оказалось, JSON, обязательно используйте {{someDjangoVariable | safe}}, чтобы удалить & quot;
Mark 07 фев. 2012, в 14:39
1

Дополнительно убедитесь, что строка не разбита на несколько строк.
Mikhail 21 фев. 2013, в 00:48
0

Кто-нибудь знает о "gon" ( github.com/gazay/gon ) эквиваленте для Django?
Mario 20 окт. 2014, в 03:42
4

Этот ответ работает только для простой переменной, он не работает для сложной структуры данных. В этом случае самое простое решение - добавить код на стороне клиента для обхода структуры данных и создать аналогичный код в Javascript. Если сложная структура данных имеет формат JSON, другим решением является ее сериализация, передача сериализованного JSON в шаблон Django в коде на стороне сервера и десериализация JSON в объекте javascript в коде на стороне клиента. Один ответ ниже упоминает эту альтернативу.
Alan Evangelista 20 нояб. 2014, в 19:15
2

Пожалуйста, обновите это, чтобы включить фильтр | escapejs, иначе вы можете получить переменные, содержащие в кавычках символы кавычек и тому подобное, и это может привести к атакам XSS.
w0rp 30 апр. 2015, в 10:07
2

Так что лучшим решением будет использование var a = {{someDjangoVariable|escapejs|safe}}" тогда?
user1496984 29 май 2015, в 04:48
11

Что делать, если JavaScript написан в другом файле?
the_unknown_spirit 15 нояб. 2016, в 07:05
0

работал как чам. Спасибо за это @ S.Lott
James Njuguna 13 июнь 2018, в 07:44
2

Спустя 10 лет Django представил встроенный шаблонный фильтр только для этого: docs.djangoproject.com/en/2.1/ref/templates/builtins/…
Jon Sakas 19 янв. 2019, в 19:55

Показать ещё 9 комментариев