Tach!

<script>var SID = "%sid%"; </script>

%loop_hrefcss% 
  <link rel="stylesheet" href="%hrefcss%" type="text/css">
%endloop%

<title> %title% </title>

Das sieht mir so aus, als ob dieses Beispiel vereinfacht ist und deshalb kein kontextgerechtes Behandeln zu sehen ist, oder dass die Template-Engine das Escaping gar nicht vornimmt und man es außerhalb vornehmen muss. Letzteres wäre deshalb ungünstig, weil man dann selbständig beide Stellen synchronisiert beachten muss, statt dass man einfach im Template sieht, dass das passende Escaping verwendet wurde und alles ok ist. Passendes Escaping ist ja gerade in diesem Beispiel auch unterschiedlich für in Javascript und in HTML einzufügende Werte.

dedlfix.