1
對於內部公司的webapp,我希望用戶能夠編輯一個存儲爲模型的Django模板,該模板隨後用於通過屏幕上的預覽呈現表單電子郵件。這樣做的安全風險是什麼?呈現用戶輸入Django模板的安全風險是什麼?
A
回答
2
它完全取決於您的模板在上下文中訪問哪些數據。這兩個領域,這是可能被確定爲:
- context處理器(在你的settings.py文件中定義)
- 意見,在那裏你傳遞上下文數據到渲染功能
如果你將你的設置對象等東西傳遞給你的上下文(不應該這樣做,但通常是這樣),那麼用戶將能夠獲得像你的數據庫證書這樣的東西。另外,如果您正在以調試模式運行(同樣,您不應該在prod中執行此操作),強制執行異常會導致顯示包含敏感數據的調試頁。
如果您只是使用django的默認上下文處理器,並且沒有通過視圖將任何敏感數據放入上下文中,那麼就安全性而言,您應該相當安全。
相關問題
- 1. 安全地呈現用戶提供的Django模板
- 2. 使用xpath有什麼安全風險?
- 3. Django中不安全的用戶輸入文本有什麼危險?
- 4. Django表單,用戶輸入字段不在模板中呈現
- 5. AHAH是安全風險嗎?
- 6. WordPress - 安全風險?
- 7. lambda表達式序列化中的安全風險是什麼?
- 8. /var/run/docker.sock的Docker安全風險是什麼?
- 9. 設置Access-Control-Allow-Origin的安全風險是什麼?
- 10. 安全地呈現用戶的模板/視圖?
- 11. 如何安全地在Django模板中的div中呈現html
- 12. 沒有傳輸安全性的WCF用戶名認證存在安全風險?
- 13. 使用eval()在JavaScript中執行用戶輸入的安全風險
- 14. PHP安全性:評估用戶輸入的字符串的風險
- 15. Linux內核模塊 - 安全風險?
- 16. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 17. 寫入文件夾和安全風險
- 18. 安全風險(XSS)的風格屬性
- 19. 可以image.src是一個安全風險?
- 20. JavaScript,通過JSON傳遞用戶ID是一種安全風險?
- 21. 使用Flex時存在什麼安全風險
- 22. 什麼是禁用ngSanitize的風險?
- 23. 爲什麼在模板呈現時django form.as_p調用form.clean方法?
- 24. 啓用MSDTC的安全風險
- 25. 爲什麼我的django網址呈現錯誤的模板?
- 26. 我可以使用django模板呈現django模板嗎?
- 27. 個人使用泡椒安全風險
- 28. 運行Erlang集羣時有什麼安全風險?
- 29. IPv6:爲什麼IPv4映射地址存在安全風險?
- 30. 讓javascript訪問外部圖像有什麼安全風險?
例如,在模板內部使用非HTML代碼混淆可能會導致它破壞,並且您的應用程序可能會引發異常。 –
@PauloBu - 謝謝,是的,我正在處理異常。無論如何,我現在擔心安全問題。破碎的模板是否會造成安全風險? – Ghopper21
什麼都沒有想到。模板由Django模板引擎呈現。他們只能訪問上下文中的對象,如果沒有對象是明智的(就像一個數據庫光標或類似的東西),那麼可能是安全的。 –