我在Django 2.1中使用这种方法，对我来说，这种方法是安全的(参考):

Django身边:

def age(request):
    mydata = {'age':12}
    return render(request, 'test.html', context={"mydata_json": json.dumps(mydata)})

Html:

<script type='text/javascript'>
     const  mydata = {{ mydata_json|safe }};
console.log(mydata)
 </script>

{{variable}}被直接替换到HTML中。做一个查看源码;它不是一个“变量”或类似的东西。它只是渲染文本。

话虽如此，您可以在JavaScript中加入这种替换。

<script type="text/javascript"> 
   var a = "{{someDjangoVariable}}";
</script>

这为您提供了“动态”javascript。

从Django 2.1开始，专门为这个用例引入了一个新的内置模板标记:json_script。

https://docs.djangoproject.com/en/stable/ref/templates/builtins/#json-script

新标记将安全地序列化模板值并防止XSS。

Django文档摘录:

安全地将Python对象输出为JSON，并封装在标签中， 可以与JavaScript一起使用。

一个对我有用的解决方案是在模板中使用隐藏的输入字段

<input type="hidden" id="myVar" name="variable" value="{{ variable }}">

然后以这种方式获取javascript的值，

var myVar = document.getElementById("myVar").value;

注意，如果你想将一个变量传递给外部的.js脚本，那么你需要在你的script标记之前加上另一个声明全局变量的script标记。

<script type="text/javascript">
    var myVar = "{{ myVar }}"
</script>

<script type="text/javascript" src="{% static "scripts/my_script.js" %}"></script>

数据像往常一样在视图中的get_context_data中定义

def get_context_data(self, *args, **kwargs):
    context['myVar'] = True
    return context

如果你想通过将变量作为参数直接发送给函数，那么试试这个

<input type="text" onkeyup="somefunction('{{ YOUR_VARIABLE }}')">

从前面的回答来看，安全性可以得到改进