2
信頼できないユーザーがテンプレートを書き込んだり編集したりできるようにする、コードインジェクションに対して安全な、スタンドアロンのPythonテンプレートエンジンを探しています。誰かがそのようなエンジンをお勧めできますか?信頼できないユーザーが使用するPythonテンプレートエンジンは安全ですか?
A
答えて
0
スターコム参照ジンジャー。
サンドボックス実行モード:
jinja websiteは、 "機能" の下に、言います。テンプレート実行のすべての側面は、 が監視され、明示的にホワイトリストまたはブラックリストに登録されています( が好ましい)。これにより、信頼できないテンプレートを実行することができます。
関連する問題
- 1. 信頼できないテキストでハイパーリンクを安全にレンダリングする
- 2. 信頼できるアプリケーション用の安全な残りのAPI
- 3. ウェブワーカーが信頼できないJavaScriptコードに安全な方法であるか
- 4. $ _SERVER ['REMOTE_ADDR']を信頼するのは安全ですか?
- 5. 信頼できないコードを安全に実行するには?
- 6. スクリプトタグがありません - 信頼できますか?安全ですか?
- 7. 信頼できない入力に対してもpython-markdownは安全ですか?
- 8. 信頼できないJavaアプリケーションを安全に実行するにはどうすればよいですか?
- 9. PHP安全で信頼性の高いホストを確認する
- 10. CPythonで信頼できないコードをコンパイルするのは安全だと考えられていますか?
- 11. 自分のラップトップで信頼できないNPMモジュールを使って安全に開発する方法は?
- 12. PHP:php_sapi_name()は安全ですか(ユーザーが操作できますか?)
- 13. Pythonマルチプロセッシングパイプが安全でないのはなぜですか?
- 14. 信頼できるスタッフ用の「安全な」SQL - ブラックリスト、ホワイトリスト、上記のどれですか?
- 15. 信頼できないGPGPUコード(OpenCLなど) - 安全ですか?どのようなリスク?
- 16. Node.js信頼できないユーザーが送信したコードのサンドボックス
- 17. 信頼できないインターネット接続でsvnを使用する
- 18. FindWindow()が100%信頼できないのはなぜですか?
- 19. skip_before_filterを使用して信頼性トークンをエスケープするのは安全ですか?
- 20. Pythonの文字列.format()は、信頼できない書式文字列に対して安全にすることはできますか?
- 21. これはPythonタイマーの使用は安全ですか?
- 22. なぜbefore_action:authenticate_adminを使用するのが安全ですか?
- 23. Linuxドライバでudelay()を使用するのが信頼できないのはなぜですか?
- 24. パイロ信号は安全ですか?
- 25. activemqは信頼できるですか?
- 26. HttpUrlConnectionは信頼できるですか?
- 27. 反応のないフラックスは信頼できるオプションですか?
- 28. ユーザーが安全なRESTfulリソース
- 29. IPアドレスは信頼できないPHPを使用
http://jinja.pocoo.org/ – starcorn
信頼できないユーザーにサイトのテンプレートへのアクセスを許可すると恐ろしいように聞こえるかもしれません。 – ayanami
これは、テンプレートに与えるビューコンテキストでどの変数/名前空間を使用/使用できるかによって異なります。例えば、 'os'のようなものを(他のモジュールや変数をインポートすることで直接的または暗黙的にアクセスできるように)利用できるようにすると危険です。 –