在网站运营中,富文本内容因其丰富的表现形式,如插入图片、自定义字体样式、表格等,而广泛应用于文章、产品介绍和单页面等场景。安企CMS作为一个高效的内容管理系统,也充分支持各类富文本内容的编辑和存储。然而,富文本内容在带来便利的同时,也隐藏着一个不容忽视的安全挑战——如何安全地在模板中输出这些包含HTML标签的内容,以防范潜在的跨站脚本攻击(XSS)。

安企CMS的模板引擎在设计时就充分考虑了安全性。当您在模板中输出任何内容时,模板引擎默认会对其进行HTML转义。这意味着,如果您的富文本内容中包含例如<script>这样的HTML标签,它们不会被浏览器解析为可执行代码,而是会被转换为&lt;script&gt;等实体字符,作为纯文本显示出来。这种默认的转义机制是网站安全的第一道防线,它能有效阻止恶意脚本通过内容注入对网站造成危害。

然而,对于那些确实需要展示HTML结构的内容,例如文章正文、产品详情页的复杂排版,或者分类、单页面的详细介绍,默认的转义行为会导致内容无法正确渲染,而是显示一堆原始的HTML标签。在这种情况下,我们就需要明确地告诉安企CMS的模板引擎,某些内容是经过确认的“安全”HTML,可以直接输出。实现这一目的最常用且直接的方式就是使用|safe过滤器。

使用 |safe 过滤器安全输出富文本

|safe过滤器是告知模板引擎“请勿转义此内容”的指令。当您确定某个变量中包含的HTML内容是安全、无害的,并且希望它能被浏览器解析并渲染出效果时,便可以在输出该变量的地方加上|safe

例如,在文章详情页输出文章内容,我们通常会使用archiveDetail标签来获取数据。如果文章内容是从富文本编辑器中输入,包含了段落、图片、链接等HTML结构,那么在模板中输出时,就需要这样处理:

<div>
    {# archiveContent 变量包含了文章的富文本内容 #}
    {%- archiveDetail archiveContent with name="Content" %}
    {{ archiveContent|safe }}
</div>

同样地,对于分类详情页或单页面详情页的内容,其处理方式也是一致的:

{# 输出分类详情内容 #}
<div>
    {%- categoryDetail categoryContent with name="Content" %}
    {{ categoryContent|safe }}
</div>

{# 输出单页面详情内容 #}
<div>
    {%- pageDetail pageContent with name="Content" %}
    {{ pageContent|safe }}
</div>

通过在变量后添加|safe,模板引擎便会跳过对archiveContentcategoryContentpageContent内容的HTML转义过程,直接将其作为HTML代码输出到浏览器,从而实现富文本内容的正确渲染。

使用 autoescape 标签进行更灵活的控制

除了针对单个变量使用|safe过滤器,安企CMS的模板引擎还提供了autoescape标签,可以控制一个代码块内的自动转义行为。如果您在一个模板区域内有多个变量需要关闭或开启HTML转义,使用autoescape标签会比反复使用|safe过滤器更加简洁和直观。

您可以使用{% autoescape off %}来关闭某个区块的自动转义,并在该区块结束时使用{% autoescape on %}{% endautoescape %}来恢复默认的转义行为。

{% autoescape off %}
    <div class="rich-text-area">
        {# 这个区域内的所有变量,包括 rich_text_var1 和 rich_text_var2,都将关闭自动转义 #}
        <p>{{ rich_text_var1 }}</p>
        <p>{{ rich_text_var2 }}</p>
    </div>
    {# 如果这里需要恢复转义,可以使用 {% autoescape on %} #}
{% endautoescape %}

autoescape off的作用范围是其标签内部,可以方便地管理特定区域内的富文本输出。

Markdown内容的渲染与安全

安企CMS还支持Markdown编辑器,这为内容创作者提供了另一种便捷的写作方式。当您在后台启用了Markdown编辑器后,系统会自动将Markdown语法转换为HTML。如果您在模板中需要渲染Markdown内容,即使Markdown编辑器没有启用,也可以在archiveDetail等标签的Content字段参数中添加render=true来强制进行渲染。

例如:

<div>
    {# 强制渲染Markdown内容为HTML,并安全输出 #}
    {%- archiveDetail articleMarkdownContent with name="Content" render=true %}
    {{ articleMarkdownContent|safe }}
</div>

请注意,无论是通过Markdown编辑器自动转换,还是通过render=true参数手动转换,最终生成的内容都是HTML。因此,在前端模板中输出这些HTML内容时,依然需要结合|safe过滤器,以确保HTML标签能够被正确解析。

安全输出的深层保障:后端内容过滤

尽管|safe过滤器和autoescape标签为前端模板输出富文本内容提供了必要的控制,但它们的核心逻辑是“信任”所输出的内容。