试试这个：

{% extends "template.html" %}
{% block body %}
{{ data|safe }}
{% endblock %}

您可能希望使用autoescape扩展名启用自动筛选。来自the docs：

env = Environment(autoescape=guess_autoescape,
                  loader=PackageLoader('mypackage'),
                  extensions=['jinja2.ext.autoescape'])

这会带来一些性能开销，但经验告诉我们，非常很容易忘记逃避一个变量，这给了我们一个XSS（甚至像eBay这样的大型网站也成为了受害者）。在

这也回答了你的问题，“应该逃出什么？”。在更大的应用程序中，通常不容易确定哪些变量可以直接（或间接！）受用户影响。此外，转义不仅仅是一种安全特性，因为固定字符串如This is a <test> & a string也需要对<和&进行转义。在

您仍然可以使用safe过滤器打印HTML，即my_string|safe。在

编辑：回答您的问题：

1. Would it be overkill to escape even the userstring or similar things?

如果我的用户名是<script>alert('boo!')</script>怎么办？或者是&fancy&？我想你可以通过在注册过程中禁止使用某些字符来解决这个问题，但是你确定没有办法绕过这个问题吗？如果我在我的用户名中填写\x26怎么办？或者，如果你能用其他方法绕过支票呢？如果（将来）你想允许这样的字符，或者将来你连接到一个允许这些字符的外部登录服务（facebook、google、github）怎么办？在

是的，有一个（小）性能开销，但它更安全，更容易编程。像Python&Jinja这样的环境的要点是以牺牲性能为代价优化程序员的生产力：）

2. Some webapplications with a database are administrated with tools like phmyadmin (which some folks forget to remove or protect). With this scenario a hacker could manipulate data inside the database without touching the application itself. Would this worst case and its damage reduced by escaping everything (see 1.)

是的。这显然是一场灾难。但是，如果攻击者获得了对您数据库的完全访问权限，那么他/她可能不需要为XSS攻击操心，因为所有数据都已经在他/她的指尖。
然而，有一种不那么恶意的方法会出错，例如，管理员手动创建（或编辑）一个带有需要转义字符的用户。在