РЕДАКТИРОВАТЬ: Для будущая ссылка, я использую определение типа содержимого, отличного от xhtml
Я создаю веб-сайт с помощью Django и пытаюсь встроить произвольные данные json на свои страницы для использования клиентом -внутренний код javascript.
Допустим, мой объект json - {"foo": ""}
. Если я встраиваю это напрямую,
<script type='text/javascript'>JSON={"foo": "</script>"};</script>
Первый закрывает объект json. (также это сделает сайт уязвимым для XSS, поскольку этот объект json будет динамически сгенерирован).
Если я использую escape-функцию HTML в django, в результате вы получите:
<script type='text/javascript'>JSON={"foo": "</script>"};</script>
и браузер не сможет интерпретировать тег