Я новичок в freemarker. Мне тоже нужно знать об этой проблеме. Я буду лишать XSS самостоятельно, но я не знаю, есть ли другие функции freemarker в безопасности, когда сайт позволяет пользователю редактировать свой шаблон?Является ли freemarker безопасным, если разрешить пользователю редактировать свой шаблон.
О, доброта нет! Это в основном эквивалентно тому, что позволяет пользователю оценивать произвольный код. Удаление XSS после факта устраняет только одну потенциальную уязвимость. Они все равно смогут выполнять множество других вещей, например, манипулировать параметрами POST или выполнять перенаправления страниц.
John is right. И позволить пользователю на самом деле редактировать шаблоны freemarker сами кажутся странными. Если вы снова вводите ввод пользователя (например, отобразите поисковый запрос на странице результатов), я бы предложил использовать с помощью встроенной встроенной строки html, это избавит вас от самых элементарных атак xss (например, «вы искали» '$ {термин? HTML}' ").
Как и другие, это небезопасно. Однако, если эти пользователи являются сотрудниками вашей компании или что-то в этом роде (то есть, если они легко подотчетны за злонамеренные действия), то это не исключение. Для получения дополнительной информации см .: http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
Есть ли у него какие-либо возможности блокировать некоторые встроенные переменные типа Request ...? – StoneHeart