gpt4 book ai didi

Perl:安全的模板语言

转载 作者:行者123 更新时间:2023-12-01 13:00:07 25 4
gpt4 key购买 nike

这里已经有几个关于安全模板语言的问题,例如:

但是上面的问题是针对asp、ruby、python的。

我的问题是:在基于 perl 的网络应用程序中,哪种模板语言可以允许用户编辑

我希望允许用户编辑页面(例如在 wiki 中)并具有一些编程可能性,因此功能齐全意味着循环、条件、变量替换、包含等。

TT“足够安全”吗?这里有另一个解决方案如 TT 吗?

最佳答案

Template::Toolkit应该没问题,只要你限制传递给模板的参数。如果您传递类,模板将能够调用这些类的任何方法,以及这些类的返回值的任何方法,等等。只传递哈希要好得多。

HTML::Template这也是一个不错的选择,默认情况下它只允许散列,因此您不太可能留下一个让模板作者执行任意代码的漏洞。

在任何一种情况下,请务必阅读所用内容的文档,并清理输出以防止跨站点脚本攻击。不要依赖于定制模板的人来为您获得正确的输出编码。

关于Perl:安全的模板语言,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6794142/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com