エスケープが無効になっている場合、Nunjucksは変数やテンプレート内の特殊文字(たとえば、<、>、"、')を自動的にエスケープせずに表示します。これにより、HTMLコードを直接表示したり、JavaScriptやCSSコードで特殊文字をエスケープしなくてもよくなります。
エスケープの無効化は、テンプレート内の変数やデータが安全で信頼できる場合にのみ使用するべきです。エスケープを無効にすることで、クロスサイトスクリプティング(XSS)攻撃などのセキュリティ上の脆弱性が引き起こされる可能性があります。データの信頼性に疑問がある場合は、必ずエスケープ機能を有効にしてください。
以下に、Nunjucksでエスケープを無効化する方法とコード例をいくつか示します。
-
変数のエスケープを無効化する方法: {{ variable | safe }}
上記のコードでは、変数「variable」のエスケープを無効化して表示します。変数の値がHTMLコードである場合、そのままHTMLとして表示されます。
-
テンプレート全体のエスケープを無効化する方法: {% autoescape false %}
{% endautoescape %}
上記のコードでは、{% autoescape false %}と{% endautoescape %}の間にあるテンプレートコードのエスケープを無効化します。これにより、テンプレート内のすべての変数やデータがエスケープされずに表示されます。
-
特定の文字をエスケープする方法: {{ variable | escape("none") }}
上記のコードでは、変数「variable」内の特定の文字のエスケープを無効化します。エスケープ対象の文字を指定することもできます。
Nunjucksでエスケープ機能を適切に制御することは、ウェブアプリケーションのセキュリティと正確な表示にとって重要です。適切な状況でエスケープを無効化する方法を知ることで、柔軟なテンプレートの作成が可能になります。ただし、セキュリティのリスクを考慮し、エスケープの無効化を行うかどうかを慎重に判断してください。