Начиная с версии 1.9.0, Twig предоставляет html_attr
стратегию для escape
фильтра (см. документация).
Стратегия html
использует функцию PHP htmlspecialchars (это подтверждается беглым просмотром источника). Стратегия html_attr
использует серию пользовательских замен, которые, похоже, в конечном итоге дают тот же эффект.
Есть ли разница между двумя стратегиями?
html_attr
безопасно для атрибутов без кавычек, тогда какhtml
безопасно для основного текста и в цитируемых атрибутах. Я не смог найти точную ссылку на это, но очень хотел бы ее увидеть. - person Rich   schedule 22.11.2016