Я новичок в freemarker. Мне тоже нужно знать об этой проблеме. Я буду лишать XSS самостоятельно, но я не знаю, есть ли другие функции freemarker в безопасности, когда сайт позволяет пользователю редактировать свой шаблон?Является ли freemarker безопасным, если разрешить пользователю редактировать свой шаблон.
ответ
О, доброта нет! Это в основном эквивалентно тому, что позволяет пользователю оценивать произвольный код. Удаление XSS после факта устраняет только одну потенциальную уязвимость. Они все равно смогут выполнять множество других вещей, например, манипулировать параметрами POST или выполнять перенаправления страниц.
John is right. И позволить пользователю на самом деле редактировать шаблоны freemarker сами кажутся странными. Если вы снова вводите ввод пользователя (например, отобразите поисковый запрос на странице результатов), я бы предложил использовать с помощью встроенной встроенной строки html, это избавит вас от самых элементарных атак xss (например, «вы искали» '$ {термин? HTML}' ").
Как и другие, это небезопасно. Однако, если эти пользователи являются сотрудниками вашей компании или что-то в этом роде (то есть, если они легко подотчетны за злонамеренные действия), то это не исключение. Для получения дополнительной информации см .: http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
- 1. Разрешить пользователю редактировать профиль
- 2. Можно ли разрешить пользователю редактировать R.string?
- 3. Разрешить пользователю редактировать собственный контент
- 4. Разрешить пользователю редактировать текст в ячейке UITableView
- 5. Django позволяет пользователю редактировать свой профиль
- 6. Django: разрешить пользователю администратора редактировать настройки сайта?
- 7. Является ли const_cast безопасным?
- 8. Является ли замок() безопасным?
- 9. Безопасно ли предоставить пользователю возможность редактировать шаблон Марко?
- 10. Laravel 5: разрешить пользователю редактировать запись, если он является владельцем сообщения или владельцем форума категории
- 11. Как разрешить пользователям редактировать свой профиль?
- 12. Является ли следующее безопасным?
- 13. Является ли java.nio.file.Files.write (...) безопасным?
- 14. Является ли это безопасным?
- 15. Можно ли разрешить пользователю редактировать и сохранять html-шаблон в приложении angularjs
- 16. Является ли шаблон Builder в эффективной Java-книге потоком безопасным?
- 17. Насколько безопасно разрешить клиенту редактировать шаблон Handlebar.js
- 18. Является ли мой шаблон дизайна конструктора поточно-безопасным?
- 19. Drupal 7 Webform - разрешить анонимному пользователю редактировать предыдущую подачу
- 20. Является ли поток операторов ++ безопасным?
- 21. Может ли шаблон представления python быть «безопасным/безопасным», если я сделаю его редактируемым пользователем?
- 22. Является ли Component.getGraphicsConfiguration потоком безопасным?
- 23. Является ли console.writeline потоком безопасным?
- 24. Является ли Queue.Peek потоком безопасным?
- 25. Является ли memcpy безопасным процессом?
- 26. Является ли Trace.WriteLine потоком безопасным?
- 27. Является ли com.google.cloud.datastore.Datastore потоком безопасным?
- 28. Является ли Hashtable.entrySet() потоком безопасным?
- 29. Является ли метод getMethod безопасным?
- 30. Является ли составное назначение безопасным?
Есть ли у него какие-либо возможности блокировать некоторые встроенные переменные типа Request ...? – StoneHeart