Stop nunjucks dall'esclusione di HTML

Question

Ho un commento una chiamata ajax che restituisce i dati del commento postato, ho anche la funzionalità @mention integrata, il lato server sta elaborando le @mentions e sta facendo uno str_replace sugli utenti citati che sostituiscono i loro nomi con un tag all'interno della risposta, ad esempio:

{ 
    data: { 
     comment: "<a href=\"profile/derp\">Username</a> hey what's up" 
    } 
} 

Tuttavia non riesco a trovare nella documentazione di come consentire nunjucks di stampare questo come vero e proprio HTML, sfugge e visualizza il codice, invece di lasciare che essere un vero tag.

Qualcuno sa come posso permettere che questo sia stampato come un vero e proprio tag?

Grazie

Answer 1

Ok, quindi quasi subito dopo che ho postato questo ho trovato la risposta! per chiunque altro guardi è semplicemente questo; all'interno del modello in cui stampi la tua variabile aggiungi il filtro sicuro, che disabiliterà l'escape automatico.

{{ comment.content|safe }} 

Anche se questo significa che è vulnerabile all'iniezione XSS, quindi assicuratevi di aggiungere la protezione sul lato server.

Answer 2

Si potrebbe prendere in considerazione il passaggio metadati del commento e lasciare che il modello di creare il codice HTML:

<p><a href="{{ comment.user.url }}">{{ comment.user.name }}</a> {{ comment.text }}</p> 

E poi passare i meta-dati in questo modo:

comment: { 
    user: { url: "profile/derp", name: "Username" }, 
    text: "hey what's up" 
} 

Answer 3

È anche possibile evitare la fuga a livello globale: nunjucks.configure({autoescape:false});