Как Jinja обрабатывает безопасность данных в шаблонах?

По умолчанию Jinja автоматически экранирует переменные при их отображении в HTML. runebook.dev Это мера безопасности, которая предотвращает атаки с использованием межсайтового скриптинга (XSS). runebook.dev

Автоэкранирование происходит путём замены специальных символов, таких как <, на их безопасные эквиваленты <. sky.pro

Однако иногда требуется выводить HTML в исходном виде. sky.pro Для отключения автоэкранирования служит фильтр |safe. sky.pro Несмотря на удобство и полезность этого фильтра, не рекомендуется применять его для ненадёжного или непроверенного кода, чтобы избежать уязвимостей в приложении. sky.pro

В новых версиях Jinja есть класс Markup, который позволяет более явно пометить контент как безопасный. runebook.dev При работе с Markup и фильтром |safe нужно проявлять осторожность, особенно при обработке непроверенных данных. sky.pro