La interpolación de triple llave de Handlebars no protege contra la inyección de rol estructural, ya que el escape HTML solo neutraliza los delimitadores de corchetes angulares. Deja intactos los delimitadores de dos puntos y hash de Markdown, permitiendo a los atacantes secuestrar los turnos del modelo. El escape predeterminado no proporciona protección para la mayoría de las familias de delimitadores y no puede reemplazar una separación estructural entre instrucción y datos.