我想让最终用户使用 EJS 编辑自己的网站模板,但由于它似乎使用 evals 并在服务器上运行,我不确定这是否会暴露一个主要的安全问题。
如果我正确地认为这是一个问题,是否有一个可以安全地向最终用户公开的模板引擎?
最佳答案
是的,ejs 可能是一个安全问题。
vm模块在这里对您非常有帮助。
Handlebars 或 Mustache 非常流行,对于非开发人员来说可能更容易理解。 Jade 很棒,但有 eval 问题,并且与 HTML 非常不同。
我建议在 Node “vm”中使用 Handlebars 或 Mustache,并进行一些仔细的考虑和执行时间限制。
关于node.js - 服务器端 EJS 向最终用户公开是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23981377/