允许客户编辑Handlebar.js模板的安全性如何
我正在构建的Rails应用程序需要允许用户编辑页面模板。
主要关注的是允许客户编辑模板的安全性。 因此,将erb模板排除在等式之外。
我看过液体标记和Handlebars.js。 这里的把手有一个很好的Rails集成https://github.com/jamesarosen/handlebars-rails 。
我更愿意使用车把。 有人可以确认让客户编辑车把模板是否安全?
由于Handlebars.js不包含任何需要被篡改的Ruby代码 – 是的,它对服务器端是安全的。
由于Handlebars.js(与任何其他模板引擎一样)允许用户更改HTML标记(插入 , ) - 不,这对客户端来说是不安全的(除非你有一些额外的消毒)