Ist Autoescape standardmäßig in jinja2 (Flask)?

Question

Ich untersuche einige Sicherheitsfehler in einigen Websites und würde gerne wissen, ob jinja2 standardmäßig AutoScape aktiviert. Laut der Jinja Dokumentation (http://jinja.pocoo.org/docs/2.9/faq/#why-is-autoescaping-not-the-default), es nicht, aber während ich die App auf einem neuen System getestet wurde, wurde es aktiviert (Ich habe versehentlich, aber nicht sicher getan.

Kann jemand etwas Licht scheinen ? auf dieser

Answer 1

nach dem flask documentation:

Es sei denn, besonders angefertigt, Jinja2 von Flask ist wie folgt konfiguriert:

autoescaping für alle Vorlagen aktiviert endet in .html, .htm, .xml als sowie .xhtml bei Verwendung von render_template().

auch:

autoescaping wird für alle Strings aktiviert, wenn render_template_string() verwenden.

Endlich:

eine Vorlage hat die Fähigkeit, mit dem {% autoescape %} Tag entscheiden in/out autoescaping.

So, während jinja standardmäßig nicht autoescape kann, schaltet sich flask auf Jinja der autoescaping standardmäßig.