gpt4 book ai didi

python - Mako 模板和安全性

转载 作者:行者123 更新时间:2023-12-01 05:24:29 25 4
gpt4 key购买 nike

我有一个想法,将模板放入数据库中,并为设计者提供直接从 CMS 面板编辑模板的可能性。但困扰我的是安全问题。如果我们能够将 python 命令直接放入模板中,那它怎么会安全呢?如果我在 mako 模板中有这样的东西:

<%!
import os

os.system('rm /var/www/env/harmless.txt')
%>

它将成功执行,并且harmless.txt将被删除。我是否应该寻找除 Mako 之外的其他模板引擎,或者我是否可以以某种方式配置 Mako 以防止有害代码注入(inject)?另一方面,一些 Python 命令在模板中使用非常有用,例如内联 if 语句

最佳答案

如果他们有自己独立的 CMS 实例,就像 Loic 指出的那样并不重要。但如果它们位于某个共享环境中,最好使用另一个模板引擎。问题Untrusted templates in Python - what is a safe library to use?推荐Django templatesJinja2 .

关于python - Mako 模板和安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21659032/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com