Проблемы с Django, автоматически фильтрующим теги шаблонов из базы данных

В настоящее время я собираю заведомо уязвимую сеть vm для тренировочной среды, чтобы провести эксперимент и последующее исправление для моей команды. Одной из уязвимостей, которую я хочу продемонстрировать, является инъекция шаблонов на стороне сервера через (django/jinja2) на простой странице "блога" без каких-либо фильтров для пользовательского ввода. Ввод работает отлично и хранится в sqlite db без проблем, выглядит именно так, как ожидалось, однако проблема заключается в отображении этого несанированного пользовательского ввода. Фактически, даже при активных попытках заставить django не экранировать и не фильтровать, он продолжает отображать только простой текст, введенный пользователем, вместо того, чтобы правильно интерпретировать его как теги шаблона.

Рендеринг вывода:

The Rendered data, not interpreted properly as template tags

Сам шаблон:

Template code, Apologies for the image but our ESXi is configured to disallow copy/paste Данные, хранящиеся в sqlite db:

Sql database opened in a gui database viewer

И, наконец, рендеринг views.py:

Once again, sorry for the images rather than code blocks, limitations on what I can do to the ESXi server and time restrictions demand it

Для справки я использую Python версии 3.9.10 и Django версии 4.0.6. Есть ли способ принудительно обеспечить нужное мне поведение или мне придется искать более старую версию без этих защит и начинать работу над бэкендом сначала?

Вернуться на верх