Rails最終用戶模板引擎：液體vs鬍鬚與其他？

Question

我正在創建一項服務，希望允許最終用戶編輯允許訪問特定「變量」以包含在模板中的網頁的HTML模板。

我知道液體是爲這個目的而設計的，是安全的（至少比較安全），並且在大量生產中使用。但是，與類似小鬍子的東西相比，我覺得最終用戶的語言相當複雜。

小鬍子聽起來不錯，但我擔心安全......它是否曾用於最終用戶模板？

基本上我尋找一個模板引擎，我可以使用W/Rails的最終用戶是：

1. 安全 - 不會允許的代碼由用戶執行......至少不服務器。用戶將被允許插入客戶端JavaScript。
2. 功能強大 - 允許最終用戶使用提供的「變量」和＃1範圍內的任何網頁創建幾乎任何網頁。簡單 - 語法清晰，易於最終用戶應用
3. 如果支持在JavaScript和其他語言中呈現模板語法，則爲獎勵分數。

液體符合1 & 2，但不是3-4。小鬍子滿足2-4，但我不確定＃1，這是不可談判的。

非常感謝任何見解，經驗或意見。

Answer 1

小鬍子對於插值來說非常棒，我無法想象它會將您暴露給服務器端漏洞，如果您將它用於Javascript評估。這是最簡單，最強大的選擇。我不知道非程序員會理解它，但我確信它比Liquid更簡單。

另一種選擇是使用像BBcode這樣的現有更簡單的用戶標記集或像TinyMCE這樣的富文本編輯庫。這些功能大大減少，但對於普通人來說更容易使用。