node.js - 服务器端 EJS 向最终用户公开是否安全?

标签 node.js security express templating ejs

我想让最终用户使用 EJS 编辑自己的网站模板,但由于它似乎使用 evals 并在服务器上运行,我不确定这是否会暴露一个主要的安全问题。

如果我正确地认为这是一个问题,是否有一个可以安全地向最终用户公开的模板引擎?

最佳答案

是的,ejs 可能是一个安全问题。

vm模块在这里对您非常有帮助。

Handlebars 或 Mustache 非常流行,对于非开发人员来说可能更容易理解。 Jade 很棒,但有 eval 问题,并且与 HTML 非常不同。

我建议在 Node “vm”中使用 Handlebars 或 Mustache,并进行一些仔细的考虑和执行时间限制。

关于node.js - 服务器端 EJS 向最终用户公开是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23981377/

上一篇:javascript - ENOENT 错误 - 我已成功上传文件,但无法移动它们

下一篇:javascript - 动态地将对象存储在对象中

相关文章:

javascript - Express JS 将变量传递给 Javascript 文件

node.js - 在哪里存储我的 Node 计划

javascript - Node.js 中的对象字面量会阻塞吗

security - Grails SpringSecurity : browser doesn't offer to save login/password for the page

java - checkmarx 报告中缺少 HSTS header

android - 当应用程序在android中处于 Activity 状态时获取电话锁定事件

node.js - 如何在模块 A 导入模块 B 的地方开发两个 Angular 模块

javascript - 如何使用 iframe 避免自定义 Web 邮件的 https 安全警告?

node.js - 对话更新事件未获取用户输入

javascript - 如何将回调 hell 转化为 promise ?

©2024 IT工具网  联系我们