L'apertura di un motore di template agli utenti è una cattiva idea?

Question

L'apertura di un motore di template agli utenti è una cattiva idea?

#1 da (2 voti)

1

Il mio sito consente agli utenti di creare modelli HTML personalizzati per i loro profili (molto simili a Tumblr e al sistema a tema), e ho scelto il motore di template di Twig per il sito.

Tuttavia, non sono sicuro che sia una buona idea dare agli utenti il controllo di poter accedere a un motore di template.

Questa è una brutta cosa? Come dovrei limitare l'accesso o dovrei semplicemente ripensare totalmente alla strategia?

security server-security templates code-security

posta Dubstaphone 11.11.2015 - 00:37

fonte

1 risposta

Leggi altre domande sui tag security server-security templates code-security

Coerenza per la scrittura su disco in un grafico di un oggetto modello Pattern pattern pattern: classi astratte e delegazione dell'interfaccia

score 2 · Accepted Answer

Da alla home page di Twig :

Secure: Twig has a sandbox mode to evaluate untrusted template code. This allows Twig to be used as a template language for applications where users may modify the template design.

e più in basso:

Sandboxing: Twig can evaluate any template in a sandbox environment where the user has access to a limited set of tags, filters, and object methods defined by the developer. Sandboxing can be enabled globally or locally for just some templates:
 {{ include('page.html', sandboxed = true) }}

Quindi, tutto ciò che devi fare è sandbox per i modelli utente e dovresti stare bene