hallo

@beatovich

Ich rate einfach mal: HTML::Template ist für diese Art Template nicht gerüstet.

So ein Unsinn! Überlege Dir besser was Du an encode_json() übergibst.

encode_json([ "<!--<script>alert("gotcha")</script>-->", "</script>-->!--<script>alert("gotcha")</script>-->", "--><script>alert("gotcha")</script>-->", "<![CDATA[<script>var n=0;while(true){n++;}</script>]]>", "<![CDATA[<]]>/SCRIPT<![CDATA[>]]></foo>", q{<?xml version="1.0" encoding="ISO-8859-1"?><!DOCTYPE foo [<!ELEMENT foo ANY><!ENTITY xxe SYSTEM "file:///etc/shadow">]><foo>&xee;</foo>}, ]);

wo ist das Problem?

Wo ein Kontextwechsel erfolgt, daß musst Du schon selbst beachten, siehe hier, da gibt es ungezählte Möglichkeiten.

Wenn das eine TE nicht kann, heißt das doch noch lange nicht, daß sie dafür ungeeignet ist!

Also praktisch muss ich den json-codierten String selber beabeiten. Da stellt sich dann doch die Frage, welchen speziellen Vorteil ein Template hier hat.