Eingebettete Kristallvariablen im Templating

Question

Ich bin neu in Crystal (und habe nie wirklich Ruby verwendet) also entschuldige mich für die Ignoranz hier! Ich habe mir die ecr docs angeschaut, finde aber dort keine Antwort.

Ich bin mit der Verwendung von Embedded Crystal für dynamische Vorlagen in Kemal. Kann ich bestätigen - können Vorlagen nur Variablen wiedergeben, die im Rahmen des Aufrufs verfügbar sind, oder kann man Methoden-/Funktionsaufrufe innerhalb der Vorlage selbst vornehmen? I.E. Gibt es irgendeine Möglichkeit/Risiko, "bösartigen" Kristallcode aus einer Vorlage heraus ausführen zu können (in diesem Fall bezieht sich böswillig auf E/A oder Dateizugriff usw.)?

Um ein Beispiel aus dem Kemal docs zu nehmen:

get "/:name" do |env| 
    name = env.params.url["name"] 
    render "src/views/hello.ecr" 
end 

Nach Ansicht hello.ecr - ist name das einzige Element, das in der Vorlage zur Verfügung stehen wird, oder könnte einen Anruf File.delete("./foo") von in der Vorlage zum Beispiel?

Answer 1

Eine Vorlage ist in Crystal Code kompiliert, Sie können jede Art von Code dort eingeben, wie File.delete("./foo"), zum Beispiel, wenn Sie <% File.delete("./foo") %> innerhalb Ihrer Vorlage schreiben.

Wenn Ihre Sorge ist, dass name wird Code enthalten und das wird irgendwie ausgeführt werden, dann mach dir keine Sorgen, das wird nicht passieren. Die Ausführung von dynamischem Laufzeitcode in Crystal ist nicht möglich. Daher wird niemand böswilligen Code in Ihre Vorlagen injizieren.