Безопасно ли предоставить пользователю возможность редактировать шаблон Марко?

Я хочу, чтобы шаблон marko редактировался клиентами. Я знаю, что пользователь может добавлять скрипты и проблему XSS. Вопрос о server side.Безопасно ли предоставить пользователю возможность редактировать шаблон Марко?

Если я запустил шаблон marko из nodejs, и шаблон пришел от одного пользователя. Возможно ли, что шаблон будет определять вредоносный код на сервере?

Другими словами: Как я могу PREVET пользователю делать что-то вроде этого:

<if test="require('readFileSync').deleteAllMyFile..."> 
    Hi 
</if>

источник

2015-12-28 Aminadav

Если вы выполняете свой серверный сервер, тогда да, если вы только скомпилируете его в предварительно скомпилированный код, то я бы предположил, что это может быть не проблема, но я все равно предположил бы, что это проблема безопасности. –

Marko позволяет произвольный код JavaScript внутри шаблонов по дизайну (по соображениям производительности). Пока что компилированные шаблоны Marko не подходят для использования в ситуациях, когда шаблонам не доверяют. Однако, так как это появилось несколько раз, мы изучаем возможность безопасного создания скомпилированных шаблонов, загружая их в песочницу. Вы можете следить за этим обсуждением как часть следующего вопроса Github: https://github.com/marko-js/marko/issues/192

источник

2015-12-29 17:58:27

Безопасно ли предоставить пользователю возможность редактировать шаблон Марко?

ответ

Смежные вопросы