В главе безопасности из В книге Django сказано, что я всегда должен использовать тег шаблона {% escape %}, чтобы защитить свой сайт от межсайтовых скриптов.
{% escape %}
Действительно ли необходимо помещать escape-тег в каждую строку шаблона? Есть ли способ указать это на уровне приложения?
Эта версия книги Django была написана задолго до выхода 1.0 и значительно устарела. Весь контент шаблона был автоматически удален в течение некоторого времени.
В Django это делается автоматически.Чтобы отключить его, вы должны использовать тег autoescape.Я не уверен с тех пор, когда, но по крайней мере, начиная с версии 1.1.
{% autoescape off %} safe stuff {% endautoscape %}