0

これが本当に危険かどうかはわかりませんが、Google が Google Apps Script から提供される HTML と Javascript を使用して行っているように (こちらで説明されているように、 Caja Compilerを使用して「HTML をサニタイズしてサンドボックス化」しています)。

ユーザーに Jinja2 テンプレートを使用して HTML を編集させて、後でレンダリングされるサーバー側の変数にアクセスできるようにした場合、何か悪いことが起こるのではないかと考えていました。どんな悪いことが起こりますか?

Obs: ユーザーの HTML が見苦しくても、それがページの残りの部分を破壊してもかまいません。

4

2 に答える 2

0

HTML では悪いことが起こる可能性があります。Jinja2 を含むほとんどのテンプレート エンジンでは、さらに悪いことが起こる可能性があります。任意のコード実行のように。そのため、サンドボックスがあります。

于 2013-10-26T05:19:07.807 に答える