Ich bin neu mit Freemarker, ich muss wissen über dieses Problem auch wählen oder nicht, ich werde XSS von mir selbst strippen, aber ich weiß nicht, sind andere Funktionen von freemarker sicher wann Website erlauben Benutzer ihre Vorlage zu bearbeiten?Ist freimarker sicher, wenn Benutzer ihre Vorlage bearbeiten können
Antwort
Oh, meine Güte nein! Dies entspricht im Wesentlichen der Möglichkeit, dass der Benutzer beliebigen Code auswerten kann. Das Entfernen von XSS nach der Tat entfernt nur eine potentielle Schwachstelle. Sie können weiterhin viele andere Dinge tun, wie zum Beispiel POST-Parameter manipulieren oder Seitenumleitungen durchführen.
John hat Recht. Den Freemarker-Templates selbst bearbeiten zu lassen, erscheint merkwürdig. Wenn Sie Benutzereingaben erneut ausgeben (z. B. Anzeigen des Suchbegriffs auf der Ergebnisseite), würde ich Ihnen vorschlagen, die Verwendung der integrierten HTML-Zeichenfolge zu verwenden, um Sie vor rudimentären xss-Angriffen zu schützen (z. B. "Sie haben gesucht '$ {term? html}' ").
Also wie andere sagten, ist es nicht sicher. Wenn diese Benutzer jedoch Angestellte in Ihrem Unternehmen oder etwas in der Art sind (d. H. Wenn sie leicht für böswillige Handlungen verantwortlich sind), dann ist das nicht völlig ausgeschlossen. Weitere Informationen finden Sie unter: http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
- 1. Sharepoint-Benutzer können ihre Workflowaufgaben nicht bearbeiten
- 2. Redirect, wenn es nicht sicher ist Benutzer - WordPress
- 3. Was ist der Vorteil, wenn Sie Ihre appengine App thread sicher machen?
- 4. Freimarker - Variablenname mit Punkt
- 5. Ist es sicher, Benutzern das Bearbeiten von CSS zu erlauben?
- 6. Wie können Benutzer ihre Daten in verschiedene Datenbanken eingeben?
- 7. Wie können Benutzer ihre eigenen Passwörter in Django ändern?
- 8. Verkettungszeichenfolgen in Freimarker
- 9. Wie Benutzer Code ohne Neukompilierung des Codes bearbeiten können
- 10. Freimarker Vorlagen überprüfen, ob die Sequenz leer ist
- 11. ist es sicher? Einfügen der Daten in db nach Benutzer ..?
- 12. Bevorzugtes Datenbank-/Webapp-Concurrency-Design, wenn mehrere Benutzer dieselben Daten bearbeiten können
- 13. Kraft mehrere Benutzer ihre AppCache
- 14. Bearbeiten von Dateien mit Vorlage
- 15. CanCan - Wie Benutzer nur ihre eigenen Objekte aktualisieren und löschen können
- 16. Und in Freimarker
- 17. java.lang.NoClassDefFoundError: Freimarker/template/TemplateModelException
- 18. Wie Sie Ihre Software nur ausführen können, wenn die Original-CD im CD-Laufwerk vorhanden ist
- 19. MVC2 Routing und Sicherheit: Wie können Parameter sicher übergeben werden?
- 20. Alternierende Tabellenreihe Farben in Freimarker
- 21. Wie sicher ist PHP?
- 22. Benutzer bearbeiten Ressource funktioniert nicht
- 23. Freimarker + Feder Konfiguration und einfachste Beispiel
- 24. Ist CancellationTokenSource sicher, wenn Tokens ausstehen?
- 25. Javascript: Bearbeiten, wenn der Benutzer die Eingabe beendet hat
- 26. Wie können Benutzer Webformulare in einer Spring MVC-Webanwendung erstellen oder bearbeiten?
- 27. Handle Null rekursiv in Freimarker
- 28. Überprüfen, wenn Benutzer Roaming ist
- 29. Ist DWScript Thread-sicher?
- 30. Zugriff verknüpfte benutzerdefinierte Feldwerte in Freimarker
Ist es Optionen, einige integrierte var wie Request zu blockieren? – StoneHeart