我是freemarker的新手,我需要知道这个问题是否选择它,我会自己去除XSS,但我不知道freemarker安全的其他功能。网站允许用户编辑他们的模板?当允许用户编辑他们的模板时,freemarker安全
0
A
回答
0
哦,天啊!这基本上等同于允许用户评估任意代码。事后删除XSS只会删除一个潜在的漏洞。他们仍然可以做很多其他事情,如操纵POST参数或执行页面重定向。
0
约翰是对的。让用户真正编辑freemarker模板本身似乎很奇怪。如果您再次输出用户输入(例如在结果页面上显示搜索词),我建议使用内置的?html字符串,它可以帮助您避免最基本的xss攻击(例如,“您搜索了'$ {项?HTML}'“)。
0
正如其他人所说,这是不安全的。但是,如果这些用户是贵公司的雇员或类似人员(即,如果他们轻易对恶意行为负责),那么这并非完全没有问题。欲了解更多详情,请参阅:http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
它是否有任何选项来阻止某些内置变量,如请求...? – StoneHeart 2009-05-24 03:55:26