1

我正在构建的 Rails 应用程序需要允许用户编辑页面模板。

主要关注的是允许客户编辑模板的安全性。所以这使得 erb 模板不在等式中。

我看过液体标记和 Handlebars.js。这里有一个很好的车把 Rails 集成https://github.com/jamesarosen/handlebars-rails

我更喜欢使用车把。有人可以确认让客户编辑车把模板是否安全吗?

4

1 回答 1

2

由于 Handlebars.js 不包含任何需要评估的 Ruby 代码——是的,它对服务器端是安全的。

由于 Handlebars.js(与任何其他模板引擎一样)允许用户更改 HTML 标记(插入<script><iframe>)——不,它对客户端不安全(除非你有一些额外的清理)

于 2012-03-30T18:45:56.710 回答