0
私はfreemarkerで新しく、この問題についても知っておく必要があります。私は自分でXSSを削除しますが、freemarkerの他の機能についてはわかりませんサイトでユーザーがテンプレートを編集できるようにしますか?freemarkerはユーザーがテンプレートを編集できるようにすると安全です
A
答えて
0
ああ、良さいい!これは基本的にユーザーが任意のコードを評価できるようにすることと同じです。事実の後XSSを削除すると、潜在的な脆弱性が1つだけ削除されます彼らは、POSTパラメータを操作したり、ページリダイレクトを実行したりするなど、いろいろなことをやり遂げることができます。
0
Johnが正しいです。そしてユーザーが実際にfreemarkerテンプレート自体を編集させることは奇妙に思えます。ユーザー入力を再度出力している場合(結果ページに検索用語を表示するなど)、html文字列を組み込みで使用することをお勧めします。これは、最も初歩的なxss攻撃からあなたを救います。 '$ {term?html}' ")。
0
他の人が言ったように、それは安全ではありません。ただし、そのユーザーがあなたの会社の従業員である場合(つまり、悪意のある行為に対して簡単に責任を負う場合)、それは完全に疑問ではありません。詳細については、http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
Request ...のような組み込みvarをブロックするオプションがありますか? – StoneHeart