hallo

Und hier ist die Antwort: Das Eine hat mit dem Anderen nichts zu tun. Weder ein ESCAPE=HTML noch ein ESCAPE=JS wird Dein JSON Konstrukt sicher machen. Tipp: Guck Dir quotemeta() an.

nö das da https://www.w3.org/TR/html51/semantics-scripting.html#script-content-restrictions ist relevant!

use HTML::Template;
use JSON;

my $template = q(var = %umgebung%;);
my $te = HTML::Template->new(
    scalarref => \$template,
    vanguard_compatibility_mode => 1,
);
$te->param( umgebung => encode_json(\%ENV) );
print $te->output;

escaping slashes tut nicht das notwendige!