安全性如何讓客戶編輯Handlebar.js模板

Question

我正在構建的Rails應用程序需要允許用戶編輯頁面模板。

主要關心的是允許客戶編輯模板的安全性。這樣就可以將erb模板排除在等式之外。

我曾看過液體標記和Handlebars.js。這裏有一個很棒的Rails集成，這裏的手柄是https://github.com/jamesarosen/handlebars-rails。

我寧願使用把手。有人可以確認讓客戶編輯車把模板是否安全嗎？

Answer 1

由於Handlebars.js不包含任何需要逃避的Ruby代碼 - 是的，它對服務器端是安全的。

由於Handlebars.js（任何其他模板引擎）允許用戶更改HTML標記（插入<script>，） - 不，這不是對客戶端安全的（除非你有一些額外的消毒）