当允许用户编辑他们的模板时，freemarker安全

我是freemarker的新手，我需要知道这个问题是否选择它，我会自己去除XSS，但我不知道freemarker安全的其他功能。网站允许用户编辑他们的模板？当允许用户编辑他们的模板时，freemarker安全

2009-05-24 StoneHeart

哦，天啊！这基本上等同于允许用户评估任意代码。事后删除XSS只会删除一个潜在的漏洞。他们仍然可以做很多其他事情，如操纵POST参数或执行页面重定向。

2009-05-24 03:33:58

它是否有任何选项来阻止某些内置变量，如请求...？ – StoneHeart 2009-05-24 03:55:26

约翰是对的。让用户真正编辑freemarker模板本身似乎很奇怪。如果您再次输出用户输入（例如在结果页面上显示搜索词），我建议使用内置的？html字符串，它可以帮助您避免最基本的xss攻击（例如，“您搜索了'$ {项？HTML}'“）。

2009-06-04 21:12:37 andynu

正如其他人所说，这是不安全的。但是，如果这些用户是贵公司的雇员或类似人员（即，如果他们轻易对恶意行为负责），那么这并非完全没有问题。欲了解更多详情，请参阅：http://freemarker.org/docs/app_faq.html#faq_template_uploading_security

2011-06-08 15:48:57 ddekany

回答