<p>您可能希望使用<code>autoescape</code>扩展名启用自动筛选。来自<a href="http://jinja.pocoo.org/docs/dev/api/#autoescaping" rel="nofollow">the docs</a>:</p>
<pre><code>env = Environment(autoescape=guess_autoescape,
loader=PackageLoader('mypackage'),
extensions=['jinja2.ext.autoescape'])
</code></pre>
<p>这会带来一些性能开销,但经验告诉我们,<strong>非常</strong>很容易忘记逃避一个变量,这给了我们一个XSS(甚至像eBay这样的大型网站也成为了受害者)。在</p>
<p>这也回答了你的问题,“应该逃出什么?”。在更大的应用程序中,通常不容易确定哪些变量可以直接(或间接!)受用户影响。此外,转义不仅仅是一种安全特性,因为固定字符串如<code>This is a <test> & a string</code>也需要对<code><</code>和<code>&</code>进行转义。在</p>
<p>您仍然可以使用<code>safe</code>过滤器打印HTML,即<code>my_string|safe</code>。在</p>
<p><strong>编辑:回答您的问题:</strong></p>
<blockquote>
<ol>
<li>Would it be overkill to escape even the userstring or similar things?</li>
</ol>
</blockquote>
<p>如果我的用户名是<code><script>alert('boo!')</script></code>怎么办?或者是<code>&fancy&</code>?我想你可以通过在注册过程中禁止使用某些字符来解决这个问题,但是你确定没有办法绕过这个问题吗?如果我在我的用户名中填写<code>\x26</code>怎么办?或者,如果你能用其他方法绕过支票呢?如果(将来)你想允许这样的字符,或者将来你连接到一个允许这些字符的外部登录服务(facebook、google、github)怎么办?在</p>
<p>是的,有一个(小)性能开销,但它更安全,更容易编程。像Python&Jinja这样的环境的要点是以牺牲性能为代价优化程序员的生产力:)</p>
<blockquote>
<ol start="2">
<li>Some webapplications with a database are administrated with tools like phmyadmin (which some folks forget to remove or protect). With this scenario a hacker could manipulate data inside the database without touching the application itself. Would this worst case and its damage reduced by escaping everything (see 1.)</li>
</ol>
</blockquote>
<p>是的。这显然是一场灾难。但是,如果攻击者获得了对您数据库的完全访问权限,那么他/她可能不需要为XSS攻击操心,因为所有数据都已经在他/她的指尖。<br/>
然而,有一种不那么恶意的方法会出错,例如,管理员手动创建(或编辑)一个带有需要转义字符的用户。在</p>