你可以试试逐字逐句的Django模板标签 像这样使用它:

< script src = " https://ajax.googleapis.com/ajax/libs/angularjs/1.6.4/angular.min.js " > < /脚本> {% verbatim %} < div ng-app = " " > <p>10是{{5 + 5}}</p> < / div > {% endverbatim %}

如果执行任何服务器端插值，唯一正确的方法是使用<>

$interpolateProvider.startSymbol('<{').endSymbol('}>');

其他任何向量都是XSS向量。

这是因为任何没有被Django转义的Angular分隔符都可以被用户输入到插入的字符串中;如果有人将他们的用户名设置为“{{evil_code}}”，Angular会很乐意运行它。但是，如果您使用的字符没有被Django转义，则不会发生这种情况。

你可以试试逐字逐句的Django模板标签 像这样使用它:

< script src = " https://ajax.googleapis.com/ajax/libs/angularjs/1.6.4/angular.min.js " > < /脚本> {% verbatim %} < div ng-app = " " > <p>10是{{5 + 5}}</p> < / div > {% endverbatim %}

你可以使用{% templatetag %}标签告诉Django输出{{和}}，以及其他保留的模板字符串。

例如，使用{% templatetag openvariable %}将输出{{。

如果你正确地分离了页面的各个部分，那么你可以很容易地在“raw”标签范围内使用angularjs标签。

在jinja2

{% raw %}
    // here you can write angularjs template tags.
{% endraw %}

在Django模板中(1.5以上)

{% verbatim %}    
    // here you can write angularjs template tags.
{% endverbatim %}

我投票反对使用双括号(())作为模板标签。只要不涉及函数调用，它就可以很好地工作，但当尝试以下方法时

ng:disabled=(($invalidWidgets.visible()))

在Mac上使用Firefox(10.0.2)时，我得到了一个非常长的错误，而不是预期的逻辑。<[]>对我来说很顺利，至少到目前为止。

编辑2012-03-29: 请注意，$invalidWidgets已弃用。然而，我仍然会使用另一种包装而不是双括号。对于任何高于0.10.7的angular版本(我猜)，你可以在应用/模块定义中更容易地更改包装器:

angular.module('YourAppName', [], function ($interpolateProvider) {
    $interpolateProvider.startSymbol('<[');
    $interpolateProvider.endSymbol(']>');
}); 

API文档。