Другой ответивший отметил предупреждение от документов , которое включало:
доступ к свойствам переменных шаблона, которые могут содержать конфиденциальную информацию
Это большой концерн. Все таблицы Django связаны друг с другом, часто «волшебными» способами. Система шаблонов не занимается разрешениями, предоставленными аутентифицированным пользователям. Если шаблон может быть обработан, то он будет обрабатывать все, что может, то есть, если существует связь между таблицами, он будет следовать ей. Это означает, что что-то вроде записи Customer, связанной с записью User, связанной с записями Vendor и записями Item, и т. Д. Может позволить любому пользователю (или, по крайней мере, любому пользователю, имеющему разрешение на создание шаблона), просматривать практически любые данные. в системе. По крайней мере, в стандартном пакете пользователя они не смогут видеть пароли пользователей. Но они могли добраться почти до чего-либо еще. Например, они могли бы выяснить, кто еще использует систему, сколько люди платят, имена администраторов (очень полезные для фишинга!) И т. Д.
Так что в то время было бы относительно легкосоздать пользовательскую систему шаблонов Django, это не хорошая идея, по крайней мере, не в любой общедоступной системе.