我是freemarker的新手,我也需要知道这个问题是否选择,我会自己剥离XSS,但我不知道当站点允许用户编辑他们的模板时freemarker的其他功能是否安全?
3 回答
0
哦,天哪,不!这基本上相当于允许用户评估任意代码。事后删除 XSS 只会删除一个潜在的漏洞。他们仍然可以做很多其他的事情,比如操纵 POST 参数或执行页面重定向。
于 2009-05-24T03:33:58.833 回答
0
约翰是对的。让用户自己实际编辑 freemarker 模板似乎很奇怪。如果您再次输出用户输入(例如在结果页面上显示搜索词),我建议使用内置的 ?html 字符串,它将使您免受最基本的 xss 攻击(例如“您搜索'${term?html}'")。
于 2009-06-04T21:12:37.390 回答
0
所以正如其他人所说,这并不安全。但是,如果这些用户是您公司的员工或类似的人(即,如果他们很容易对恶意行为负责),那么这并非完全没有问题。有关更多详细信息,请参阅: http: //freemarker.org/docs/app_faq.html#faq_template_uploading_security
于 2011-06-08T15:48:57.243 回答