Ich bin neu mit Freemarker, ich muss wissen über dieses Problem auch wählen oder nicht, ich werde XSS von mir selbst strippen, aber ich weiß nicht, sind andere Funktionen von freemarker sicher wann Website erlauben Benutzer ihre Vorlage zu bearbeiten?Ist freimarker sicher, wenn Benutzer ihre Vorlage bearbeiten können
Oh, meine Güte nein! Dies entspricht im Wesentlichen der Möglichkeit, dass der Benutzer beliebigen Code auswerten kann. Das Entfernen von XSS nach der Tat entfernt nur eine potentielle Schwachstelle. Sie können weiterhin viele andere Dinge tun, wie zum Beispiel POST-Parameter manipulieren oder Seitenumleitungen durchführen.
John hat Recht. Den Freemarker-Templates selbst bearbeiten zu lassen, erscheint merkwürdig. Wenn Sie Benutzereingaben erneut ausgeben (z. B. Anzeigen des Suchbegriffs auf der Ergebnisseite), würde ich Ihnen vorschlagen, die Verwendung der integrierten HTML-Zeichenfolge zu verwenden, um Sie vor rudimentären xss-Angriffen zu schützen (z. B. "Sie haben gesucht '$ {term? html}' ").
Also wie andere sagten, ist es nicht sicher. Wenn diese Benutzer jedoch Angestellte in Ihrem Unternehmen oder etwas in der Art sind (d. H. Wenn sie leicht für böswillige Handlungen verantwortlich sind), dann ist das nicht völlig ausgeschlossen. Weitere Informationen finden Sie unter: http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
Ist es Optionen, einige integrierte var wie Request zu blockieren? – StoneHeart