我已经用我自己的模板覆盖了评论框架的 form.html
模板
{% load comments i18n %}
<form action="{% comment_form_target %}" method="post">{% csrf_token %}
<div><input type="hidden" name="next" value="{{ request.get_full_path }}" /></div>
{% for field in form %}
{% if field.is_hidden %}
<div>{{ field }}</div>
{% else %}
{% if field.name != "name" and field.name != "url" and field.name != "email" %}
{% if field.errors %}{{ field.errors }}{% endif %}
<p
{% if field.errors %} class="error"{% endif %}
{% ifequal field.name "honeypot" %} style="display:none;"{% endifequal %}
>
{{ field.label_tag }}<br />
{{ field }}
</p>
{% endif %}
{% endif %}
{% endfor %}
<p class="submit">
<input type="submit" name="post" class="submit-post" value="{% trans "Post" %}" />
</p>
</form>
它几乎只呈现所需的隐藏字段(为了安全)和评论字段。所有comment.user
都自动设置为当前登录用户request.user
。这是呈现的 HTML:
<form action="/comments/post/" method="post"><div style='display:none'><input type='hidden' name='csrfmiddlewaretoken' value='bd05094c2e3ba80e1fbec8a4237b132c' /></div>
<div><input type="hidden" name="next" value="/doors/orders/1/" /></div>
<div><input type="hidden" name="content_type" value="doors.order" id="id_content_type" /></div>
<div><input type="hidden" name="object_pk" value="1" id="id_object_pk" /></div>
<div><input type="hidden" name="timestamp" value="1333125894" id="id_timestamp" /></div>
<div><input type="hidden" name="security_hash" value="c6791aafdd682cd8db5595681073c9a21c5fe7dd" id="id_security_hash" /></div>
<p>
<label for="id_comment">Comment</label><br />
<textarea id="id_comment" rows="10" cols="40" name="comment"></textarea>
</p>
<p style="display:none;" >
<label for="id_honeypot">If you enter anything in this field your comment will be treated as spam</label><br />
<input type="text" name="honeypot" id="id_honeypot" />
</p>
<p class="submit">
<input type="submit" name="post" class="submit-post" value="Post" />
</p>
</form>
问题是我注意到如果登录用户没有电子邮件,那么评论会转到 preview.html
(我没有覆盖)。这是屏幕截图:
这是一个安全问题,因为它允许某人在发布前更改他们的名字而不是使用登录用户的名字(当我列出评论时,我使用 comment.user.get_full_name
而不是 comment.name
所以这不是问题,但它仍然可能在管理页面中造成混淆)。
所以我的问题是:
- 如何允许没有电子邮件的用户发表评论?
- 如何不让表单转到
preview.html
? - 到目前为止,我的代码和设计是否良好?
最佳答案
好吧,你可以使用 customization用于创建处理来自评论框架的评论的自定义应用程序的文档。您应该在您的设置文件中设置 COMMENTS_APP = 'my_comment_app'
并在您的应用程序的 __init__.py
中指定一个 get_form()
方法,它应该返回您的自定义表单。
自定义表单应该基于 contrib.comments.forms.CommentForm
并且应该看起来像这样:
class CustomForm(comment_forms.CommentForm):
def __init__(*args, **kwargs):
super(CustomFors, self).__init__(*args, **kwargs)
self.fields["email"].required = False
preview.html
呈现是因为表单包含错误(需要 emai,但用户没有,因此未填充)。如果没有错误 - 将不会显示预览。
关于python - 没有电子邮件的用户无法使用 Django 的评论框架发表评论,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9947343/