我是freemarker的新手,我需要知道這個問題是否選擇它,我會自己去除XSS,但我不知道freemarker安全的其他功能。網站允許用戶編輯他們的模板?當允許用戶編輯他們的模板時,freemarker安全
0
A
回答
0
哦,天啊!這基本上等同於允許用戶評估任意代碼。事後刪除XSS只會刪除一個潛在的漏洞。他們仍然可以做很多其他事情,如操縱POST參數或執行頁面重定向。
0
約翰是對的。讓用戶真正編輯freemarker模板本身似乎很奇怪。如果您再次輸出用戶輸入(例如在結果頁面上顯示搜索詞),我建議使用內置的?html字符串,它可以幫助您避免最基本的xss攻擊(例如,「您搜索了'$ {項?HTML}'「)。
0
正如其他人所說,這是不安全的。但是,如果這些用戶是貴公司的僱員或類似人員(即,如果他們輕易對惡意行爲負責),那麼這並非完全沒有問題。欲瞭解更多詳情,請參閱:http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
相關問題
- 1. 允許用戶只編輯他們的奏鳴曲
- 2. 如何允許設計用戶編輯他們的profil?
- 3. cakephp 3允許用戶只編輯他們的個人資料
- 4. 允許匿名用戶編輯他們的內容? Drupal模塊,想法
- 5. 允許用戶編輯CSS
- 6. 允許當前用戶刪除他們的賬戶
- 7. 允許用戶使用設備編輯他們自己的數據
- 8. 管理員用戶允許刪除和編輯其他用戶
- 9. 允許我的SAAS用戶在他們的商店安裝MailChimp
- 10. Ruby On Rails Rolify + CanCanCan + Devise允許用戶只編輯他們的帖子
- 11. rails cancan允許用戶編輯* only *他們的數據,但查看每個人
- 12. 我如何允許用戶從速度模板更改他們的Liferay肖像?
- 13. 限制Laravel中的「用戶」,同時仍允許所有人編輯他們自己的'用戶'
- 14. 允許管理員編輯其他用戶的針腳 - 導軌
- 15. TFS 2012安全性 - 允許用戶編輯工作項目的狀態
- 16. 當允許他人編輯內容時,地址欄中的帖子ID#是否存在安全風險?
- 17. MVC4允許用戶編輯列表項
- 18. 只允許某些用戶編輯ASPxGridView
- 19. 允許用戶在mysql中編輯
- 20. 不允許用戶編輯Codeigniter代碼
- 21. 允許用戶編輯和存儲HTML
- 22. 只允許當前用戶訪問grails中的編輯頁面
- 23. 允許用戶編輯一個php代碼並安全地提交結果
- 24. 設計:允許管理員編輯其他用戶 - Rails
- 25. 安全性如何讓客戶編輯Handlebar.js模板
- 26. Ruby-On-Rails如何只允許當前用戶編輯和刪除他們創建的帖子
- 27. SharePoint 2010公告板 - 用戶只能編輯他們的帖子
- 28. 允許用戶更改他們的用戶名
- 29. 如何允許管理員用戶在Django中編輯電子郵件模板?
- 30. 允許「圖像模板」文本編輯的JQuery/Javascript源代碼
它是否有任何選項來阻止某些內置變量,如請求...? – StoneHeart 2009-05-24 03:55:26