如果执行任何服务器端插值，唯一正确的方法是使用<>

$interpolateProvider.startSymbol('<{').endSymbol('}>');

其他任何向量都是XSS向量。

这是因为任何没有被Django转义的Angular分隔符都可以被用户输入到插入的字符串中;如果有人将他们的用户名设置为“{{evil_code}}”，Angular会很乐意运行它。但是，如果您使用的字符没有被Django转义，则不会发生这种情况。

如果你使用django 1.5及更新版本:

  {% verbatim %}
    {{if dying}}Still alive.{{/if}}
  {% endverbatim %}

如果你还在使用appengine上的django 1.2，可以使用下面的命令来扩展django语法…

from django import template

register = template.Library()

class VerbatimNode(template.Node):

    def __init__(self, text):
        self.text = text

    def render(self, context):
        return self.text

@register.tag
def verbatim(parser, token):
    text = []
    while 1:
        token = parser.tokens.pop(0)
        if token.contents == 'endverbatim':
            break
        if token.token_type == template.TOKEN_VAR:
            text.append('{{')
        elif token.token_type == template.TOKEN_BLOCK:
            text.append('{%')
        text.append(token.contents)
        if token.token_type == template.TOKEN_VAR:
            text.append('}}')
        elif token.token_type == template.TOKEN_BLOCK:
            text.append('%}')
    return VerbatimNode(''.join(text))

在你的文件中使用:

from google.appengine.ext.webapp import template
template.register_template_library('utilities.verbatim_template_tag')

来源: http://bamboobig.blogspot.co.at/2011/09/notebook-using-jquery-templates-in.html

如果执行任何服务器端插值，唯一正确的方法是使用<>

$interpolateProvider.startSymbol('<{').endSymbol('}>');

其他任何向量都是XSS向量。

这是因为任何没有被Django转义的Angular分隔符都可以被用户输入到插入的字符串中;如果有人将他们的用户名设置为“{{evil_code}}”，Angular会很乐意运行它。但是，如果您使用的字符没有被Django转义，则不会发生这种情况。

如果你正确地分离了页面的各个部分，那么你可以很容易地在“raw”标签范围内使用angularjs标签。

在jinja2

{% raw %}
    // here you can write angularjs template tags.
{% endraw %}

在Django模板中(1.5以上)

{% verbatim %}    
    // here you can write angularjs template tags.
{% endverbatim %}

对于Angular 1.0，你应该使用$interpolateProvider api来配置插值符号:http://docs.angularjs.org/api/ng.$interpolateProvider。

像这样的东西应该可以达到目的:

myModule.config(function($interpolateProvider) {
  $interpolateProvider.startSymbol('{[{');
  $interpolateProvider.endSymbol('}]}');
});

请记住两件事:

混合服务器端和客户端模板很少是一个好主意，应该谨慎使用。主要问题是:可维护性(难以阅读)和安全性(双插值可能会暴露一个新的安全向量——例如，服务器端和客户端模板本身的转义可能是安全的，但它们的组合可能不安全)。 如果你开始使用在模板中使用{{}}的第三方指令(组件)，那么你的配置将破坏它们。(修复等待)

虽然我们对第一个问题无能为力，除了警告人们，但我们确实需要解决第二个问题。

你可以试试逐字逐句的Django模板标签 像这样使用它:

< script src = " https://ajax.googleapis.com/ajax/libs/angularjs/1.6.4/angular.min.js " > < /脚本> {% verbatim %} < div ng-app = " " > <p>10是{{5 + 5}}</p> < / div > {% endverbatim %}