摘要： HTML代码自动转义（auto-escaping）当使用模板生成HTML代码时，如果变量内容是一些影响HTML结果的字符时，那就挺危险的。例如，模板内容如下：Hello {{ name }}当name的值为:<script>alert('hello')</script>渲染后的HTML结果就是：Hello <script>alert('hello')</script>以上的代码运行的结果就是会让浏览器弹出一个javascript的警告窗口。同理，如果name的值为<b>hanks，那么结果中Hello以 阅读全文