为用户提供编辑 Marko 模板的选项是否安全?
Is it secure to give the user option to edit Marko template?
我想让客户可以编辑 marko 模板。
我知道用户可以添加脚本和 XSS 问题。问题是关于 server side.
如果我 运行 来自 nodejs 的 marko 模板,并且该模板来自一个用户。该模板是否可能会在服务器上评估恶意代码?
换句话说:
我怎样才能防止用户做这样的事情:
<if test="require('readFileSync').deleteAllMyFile...">
Hi
</if>
Marko 允许在模板中使用任意 JavaScript 代码(出于性能原因)。目前,这使得编译后的 Marko 模板不适合在模板不受信任的情况下使用。然而,由于这已经出现过几次,我们正在探索通过将它们加载到沙箱中来使编译后的模板安全的选项。您可以关注该讨论作为以下 Github 问题的一部分:https://github.com/marko-js/marko/issues/192
我想让客户可以编辑 marko 模板。
我知道用户可以添加脚本和 XSS 问题。问题是关于 server side.
如果我 运行 来自 nodejs 的 marko 模板,并且该模板来自一个用户。该模板是否可能会在服务器上评估恶意代码?
换句话说: 我怎样才能防止用户做这样的事情:
<if test="require('readFileSync').deleteAllMyFile...">
Hi
</if>
Marko 允许在模板中使用任意 JavaScript 代码(出于性能原因)。目前,这使得编译后的 Marko 模板不适合在模板不受信任的情况下使用。然而,由于这已经出现过几次,我们正在探索通过将它们加载到沙箱中来使编译后的模板安全的选项。您可以关注该讨论作为以下 Github 问题的一部分:https://github.com/marko-js/marko/issues/192