在 WTForms 中注入 HTML

在 WTForms 中，可以使用 render_kw 参数向表单字段中注入 HTML。但是需要注意的是，使用这种方法需要确保注入的 HTML 是安全的，不能导致 XSS 攻击。

示例代码

下面是一个示例代码：

from flask_wtf import FlaskForm
from wtforms import StringField
from wtforms.validators import DataRequired

class MyForm(FlaskForm):
    my_field = StringField('My Field', render_kw={"class": "form-control", "placeholder": "Enter text here"})

在上面的代码中，我们向 StringField 字段中注入了两个 HTML 属性：class 和 placeholder。

防止 XSS 攻击

为了防止 XSS 攻击，需要确保注入的 HTML 安全。下面是一些建议：

• 如果需要向字段中注入文本，可以使用模板引擎中的 escape 函数对文本进行转义。
• 不要将用户输入的内容直接作为 HTML 属性注入。可以使用 bleach 等工具过滤用户输入，只允许指定的标签和属性。
• 不要将用户输入的内容直接作为 HTML 元素注入。可以使用 Markup 类对用户输入进行转义。

参考资料

1. WTForms Documentation