1

私が構築している Rails アプリケーションでは、ユーザーがページ テンプレートを編集できるようにする必要があります。

主な懸念事項は、顧客がテンプレートを編集できるようにすることがどれほど安全かということです。そのため、erb テンプレートは方程式から除外されます。

Liquid マークアップと Handlebars.js を見てきました。https://github.com/jamesarosen/handlebars-railsには、ハンドルバーの優れた Rails 統合があります。

ハンドルバーを使用することをお勧めします。ハンドルバーのテンプレートを顧客に編集させても安全かどうか、誰か確認できますか?

4

1 に答える 1

2

Handlebars.js には評価が必要な Ruby コードが含まれていないため、サーバー サイドでは安全です。

Handlebars.js (他のテンプレート エンジンと同様) では、ユーザーが HTML マークアップ (insert <script>, <iframe>) を変更できるため、クライアント側では安全ではありません (追加のサニタイズがない限り)。

于 2012-03-30T18:45:56.710 に答える