假设我需要一个模板系统,用户可以使用在线编辑器在线编辑它。
所以他们可以放置 if 标签、循环标签等,但仅限于我想注入模板的特定对象。
这可以避免安全问题吗?
即它们以某种方式输出 sql 连接字符串信息或在允许的标签和注入对象之外编写脚本。
问问题
119 次
假设我需要一个模板系统,用户可以使用在线编辑器在线编辑它。
所以他们可以放置 if 标签、循环标签等,但仅限于我想注入模板的特定对象。
这可以避免安全问题吗?
即它们以某种方式输出 sql 连接字符串信息或在允许的标签和注入对象之外编写脚本。