我有这个 admin.py
class LawyerAdmin(admin.ModelAdmin):
fieldsets = [
('Name', {'fields': ['last', 'first', 'firm_name', 'firm_url', 'school', 'year_graduated']}),
]
list_display = ('last', 'first', 'school', 'year_graduated', 'firm_name', 'firm_url')
list_filter = ['school', 'year_graduated']
search_fields = ['last', 'school', 'firm_name']
我想让“firm_url”字段可单击该字段中列出的每个 url。我怎样才能做到这一点?谢谢。
Use the format_html
公用事业。这将从参数中转义任何 html,并将字符串标记为可以在模板中安全使用。这allow_tags
method 属性在 Django 1.9 中已被弃用。
from django.utils.html import format_html
from django.contrib import admin
@admin.display(description="Firm URL")
class LawyerAdmin(admin.ModelAdmin):
list_display = ['show_firm_url', ...]
...
def show_firm_url(self, obj):
return format_html("<a href='{url}'>{url}</a>", url=obj.firm_url)
现在,即使在以下情况下,您的管理员用户也是安全的:
firm_url == 'http://a.aa/<script>eval(...);</script>'
See 文档 https://docs.djangoproject.com/en/stable/ref/utils/#django.utils.html.format_html了解更多信息。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)