Hallo zusammen,
ich bin relativ neuer Python- und Djangonutzer und jetzt auch nur durch mein Studium darauf gestoßen. Ich habe mir jetzt innerhalb weniger Tage ein CMS zusammen gebastelt, was bis auf das Abfangen möglicher Fehler auch soweit funktioniert. Nun habe ich aber doch einen Mangel festgestellt, der mich beunruhigt.
Wenn ich in einem Textfeld im Adminbereich HTML-Code anwende wird dieser auf der Seite leider nicht interpretiert, sondern wieder ausgegeben. Höchstwahrscheinlich ist das in Djano standardmäßig so. Aber gibt es auch eine Möglichkeit dies zu umgehen!?!?
Kann man das vielleicht irgendwo in den views definieren??
Entschuldigt meine Unwissenheit, aber bin wie gesagt erst kurz dabei.
Ansich finde ich das System und Python echt super möchte mich auch gerne in meinem Studienabschlussprojekt damit beschäftigen
Wäre super wenn mir da jemand helfen könnte!!!
Vielen Dank!!
Greetz
[Django] HTML-Code in Textareas wird nicht interpretiert
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Hallo ferix, willkommen im Forum,
Es ist schon richtig, dass im Django-Admin sowas nicht möglich ist. Da reicht dann ein ``* { display: none; }`` mittels CSS und dann kannst du den Admin gar nicht mehr sehen.
Es ist schon richtig, dass im Django-Admin sowas nicht möglich ist. Da reicht dann ein ``* { display: none; }`` mittels CSS und dann kannst du den Admin gar nicht mehr sehen.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Hallo,
was meinst du damit, dass man den Admin nicht mehr sehen kann!?
Mit diesem CSS Befehlt wird doch alles auf display:none gestellt.
Verstehe jetzt nicht so ganz wie mir das helfen soll, dass ich in Textfeldern mit HTML-Code arbeiten kann!?
was meinst du damit, dass man den Admin nicht mehr sehen kann!?
Mit diesem CSS Befehlt wird doch alles auf display:none gestellt.
Verstehe jetzt nicht so ganz wie mir das helfen soll, dass ich in Textfeldern mit HTML-Code arbeiten kann!?
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Du kannst doch in den Feldern HTML eintippen. Nur wird der in der Anzeige vom Admin zu recht autoescaped, damit man eben keine XSS-Probleme im Admin hat.ferix hat geschrieben:Verstehe jetzt nicht so ganz wie mir das helfen soll, dass ich in Textfeldern mit HTML-Code arbeiten kann!?
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
- jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
@ferix: Was du suchst ist wahrscheinlich "mark_safe", schau mal hier:
http://www.djangoproject.com/documentat ... o-escaping
http://www.djangoproject.com/documentat ... o-escaping
Leider kann ich dem nicht so ganz folgen
Dass hier auch keine Missverständnisse auftreten.
Ich möchte NICHT, dass der im Admin-Textfeld eingetragene HTML-CODE in diesem FELD selbst interpretiert wird.
Er soll auf der öffentlichen Website korrekt interpretiert werden.
Dass hier auch keine Missverständnisse auftreten.
Ich möchte NICHT, dass der im Admin-Textfeld eingetragene HTML-CODE in diesem FELD selbst interpretiert wird.
Er soll auf der öffentlichen Website korrekt interpretiert werden.
-
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Weil es autoescaping komplett ausschaltet und dir womöglich XSS-Lücken öffnet.ferix hat geschrieben:Und wieso ist das schlecht?
So wie in der Django-Dokumentation beschrieben. Also wie jeden Filter.ferix hat geschrieben:Wie verwende ich den Safe-Filter?
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice