Безопасно ли давать пользователю возможность редактировать шаблон Marko?

Question

Безопасно ли давать пользователю возможность редактировать шаблон Marko?

Я хочу сделать шаблон marko редактируемым клиентами. Я знаю, что пользователь может добавлять сценарии и выпуск XSS. Вопрос о server side,

Если я запускаю шаблон marko из nodejs, и шаблон пришел от одного пользователя. Возможно ли, что шаблон будет проверять вредоносный код на сервере?

Другими словами: как я могу предупредить пользователя от такого:

<if test="require('readFileSync').deleteAllMyFile...">
   Hi
</if>

1

javascript node.js marko

Источник

user1229624 28 дек '15 в 11:35

1 ответ

Решение

Другие вопросы по тегам javascript node.js marko

user2700747 29 дек '15 в 17:58 2015-12-29 17:58 · Accepted Answer · 2015-12-29 17:58

Marko допускает произвольный код JavaScript внутри шаблонов по дизайну (по соображениям производительности). На данный момент это делает скомпилированные шаблоны Marko непригодными для использования в ситуациях, когда шаблоны не являются доверенными. Однако, поскольку это происходило несколько раз, мы изучаем возможность сделать скомпилированные шаблоны безопасными, загрузив их в песочницу. Вы можете следить за этим обсуждением в рамках следующего выпуска Github: https://github.com/marko-js/marko/issues/192