1. 问题描述：Markdown转换HTML标签被显示为文本

在django项目中，当开发者将markdown格式的内容通过python库（如markdown）转换为html字符串，并尝试在django模板中渲染时，可能会遇到一个常见问题：转换后的html标签（例如

、

、）并没有被浏览器解析为对应的html元素，而是直接以纯文本形式显示在页面上。

例如，如果Markdown内容是：

# CSS
CSS is a language that can be used to add style to an [HTML](/wiki/HTML) page.

经过Markdown库转换后，会生成类似以下HTML字符串：

CSS
 
CSS is a language that can be used to add style to an HTML page.

然而，在Django页面上，用户看到的却是：

立即学习“前端免费学习笔记（深入）”；

CSS
 
CSS is a language that can be used to add style to an HTML page.

而非预期中的：

CSS
===

CSS is a language that can be used to add style to an [HTML](/wiki/HTML) page.

这表明HTML字符串中的标签被转义了，而不是被浏览器解释执行。

2. 问题根源：Django模板的自动HTML转义机制

出现上述问题的原因是Django模板引擎默认会对所有从视图层传递到模板的变量进行HTML转义。这一机制是Django内置的一项重要安全特性，旨在防止跨站脚本攻击（XSS）。当模板中渲染一个变量时，所有可能被浏览器解释为HTML标签或特殊字符（如、&、"、'）的字符都会被替换为对应的HTML实体（例如， 会被转义为 youjiankuohaophpcn）。

这种自动转义确保了即使恶意用户在输入中注入了HTML或JavaScript代码，这些代码也不会在最终用户的浏览器中执行，而是作为纯文本显示，从而大大增强了Web应用程序的安全性。

在提供的代码示例中，views.py中的convert函数将Markdown内容转换为HTML字符串：

import markdown
# ...
def convert(entry):
    return markdown.markdown(entry)

然后，这个HTML字符串被赋值给context字典中的'entry'键，并在entry.html模板中通过{{ entry }}进行渲染：

    {{ entry }}

此时，{{ entry }}处的变量内容会经过Django的自动转义处理，导致HTML标签被显示为文本。

3. 解决方案：使用|safe过滤器

要解决HTML标签被转义的问题，需要明确告诉Django模板引擎，某个变量的内容是安全的HTML，不应进行转义。这可以通过使用Django模板内置的|safe过滤器来实现。

Pixso AI

Pixso AI是一款智能生成设计稿工具，通过AI一键实现文本输入到设计稿生成。

下载

|safe过滤器会标记一个字符串为“安全的HTML”，指示Django模板渲染器不要对其进行自动转义。

应用|safe过滤器：

只需修改模板中的渲染语句，将|safe过滤器添加到变量后面：

    {{ entry | safe }}

修改后的entry.html片段如下：

{% block body %}

    

        {{ entry | safe }} {# 关键修改：添加 | safe 过滤器 #}
    
    

        
            EDIT
        
    

{% endblock %}

通过添加|safe过滤器，当entry变量的内容（即Markdown转换后的HTML字符串）被渲染时，其中的HTML标签将不再被转义，而是直接输出到HTML文档中，从而被浏览器正确解析和显示。

4. 安全注意事项与最佳实践

尽管|safe过滤器是解决此问题的直接方法，但使用它时必须格外小心，因为它会禁用Django的自动HTML转义机制，从而引入潜在的XSS漏洞。

何时安全使用|safe：

• 内容来源可信： 只有当您确定变量中的HTML内容是完全安全、不包含任何恶意脚本时，才可以使用|safe。例如，内容是由您自己编写的Markdown文件转换而来，或者来自经过严格审查和信任的内部系统。
• 内容已预先消毒： 如果HTML内容是用户生成或来自外部不可信源，但在将其传递给模板之前，您已经使用专门的HTML消毒库（如bleach）对其进行了严格的清理和过滤，移除了所有潜在的恶意代码，那么此时使用|safe也是相对安全的。

潜在风险与替代方案：

• XSS漏洞： 如果不加鉴别地对用户提交的或来自不可信源的HTML内容使用|safe，攻击者可能会注入恶意JavaScript代码，导致XSS攻击，窃取用户数据或劫持会话。

• 避免直接信任用户输入： 永远不要直接对未经消毒的用户输入内容使用|safe。

• HTML消毒库： 对于用户生成内容，强烈建议在视图层使用HTML消毒库（如 bleach）对HTML进行清理。例如：

  import markdown
  import bleach
  
  def convert_and_sanitize(entry_content):
      # 允许的标签和属性
      allowed_tags = ['h1', 'h2', 'p', 'a', 'strong', 'em', 'ul', 'ol', 'li', 'br', 'code', 'pre']
      allowed_attrs = {'a': ['href', 'title']}
  
      # 转换为HTML
      html_content = markdown.markdown(entry_content)
      # 消毒HTML
      sanitized_html = bleach.clean(
          html_content,
          tags=allowed_tags,
          attributes=allowed_attrs,
          strip=True # 移除不允许的标签
      )
      return sanitized_html

  然后将sanitized_html传递给模板，并对其使用|safe。

5. 总结

在Django模板中正确渲染Markdown转换的HTML内容，关键在于理解Django模板的自动HTML转义机制及其背后的安全考量。当需要显示预先生成且确定安全的HTML字符串时，使用|safe过滤器是有效的解决方案。然而，作为一名开发者，必须时刻牢记|safe过滤器会绕过Django的安全防护，因此在使用时务必谨慎，确保内容来源可靠或已进行充分消毒，以避免引入潜在的安全漏洞。