fis3 变量编译过来后面加了|f_escape_xml 的作用是什么，可以去掉吗

变量编译过来后面加了|f_escape_xml 的作用是什么，可以去掉吗

Open chinajoy opened this issue 8 years ago • 8 comments

比如：{%$page%} - > {%$page|f_escape_xml %}

作用是什么，可以去掉吗

Jul 01 '16 10:07 chinajoy

做 xss 保护的，不想要可以把 tpl 的 optimizer 插件去掉。

Jul 01 '16 10:07 2betop

后端以变量的形式传过来的一段html代码（现在按原样输出了），如果不去掉这个插件，还有其他处理方法吗？

Jul 05 '16 07:07 chinajoy

这样试试？我不记得了 {%$page | escape:none %}

Jul 05 '16 07:07 2betop

谢谢！不对，我资料吗，我自己找下吧

Jul 05 '16 07:07 chinajoy

应该就是这个 {%$page | escape:none%} 你编译的时候没 -c 吧

Jul 05 '16 08:07 2betop

没有，我是-r 发编译发布到远端测试机器上 fis3 release -r school server

Jul 05 '16 08:07 chinajoy

我-c之后报错： fis3 release -r school server -c

qq 20160713104535

Jul 13 '16 02:07 chinajoy

怎么去掉，fis-config.js 需要增加什么呢

Mar 27 '18 03:03 cat-kun