- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在使用 Express-Handlebars 模板引擎来使用 NodeJS 和 Express。
Handlebars 在尝试渲染模板时抛出以下错误:
Handlebars: Access has been denied to resolve the property "username" because it is not an "own property" of its parent. You can add a runtime option to disable the check or this warning: See https://handlebarsjs.com/api-reference/runtime-options.html#options-to-control-prototype-access for details
根据上面的链接:
From version 4.6.0 on, Handlebars forbids accessing prototype properties and methods of the context object by default. The reason are various security issues that arise from this possibility.
我的 app.js 包含以下内容:
const exphbs = require('express-handlebars');
const express = require('express');
// Init Express
const app = express();
// VIEW ENGINE
app.engine('handlebars', exphbs({
defaultLayout: 'main'
}));
app.set('view engine', 'handlebars');
我的路由文件通过 Mongoose 从 MongoDB 获取:
//@GET - View
router.get('/', authMiddleware, (req, res, next) => {
// Mongoose
Model.find({ user: req.user._id })
.sort({ date: -1 })
.then(model => {
res.render('/overview', { model: model })
})
.catch(err => {
if (err) throw err;
req.flash('error_msg', 'No Model Found');
})
})
模型是对象数组
这个问题是在我开始尝试添加 Handlebars 助手之后才开始发生的。我已删除助手并恢复到原始配置设置(上面),但无济于事。我尝试删除 node_modules 文件夹并重新安装 npm。
发送的是一个对象数组,我尝试使用 {{#each model}} 帮助器循环对象的属性,并通过每个中的 {{prop1}} 引用各个属性。
根据 Handlebars 的说法,默认情况下禁用 proto 属性是 false,并且此更改不应破坏任何内容。
我的问题:
提前谢谢您。
最佳答案
当我升级 Handlebars 套件时,我遇到了同样的问题。为了尽快让您的系统恢复在线状态,请删除 package.json 中的 handbars 条目,然后在其位置插入此行。
"handlebars": "4.5.3",
从版本 4.6.0 开始,Handlebars 默认禁止访问上下文对象的原型(prototype)属性和方法。这与此处描述的安全问题有关: https://mahmoudsec.blogspot.com/2019/04/handlebars-template-injection-and-rce.html
引用 https://github.com/wycats/handlebars.js/issues/1642
上述 URL 中的示例显示了 Mongoose 响应转换为 JSON 的情况:
app.get('/test', function (_req, res) {
Kitten.find({}).then(kittens => {
res.render('test.hbs', {
kittens: kittens.map(kitten => kitten.toJSON())
})
})
});
如果您确定只有受信任的开发人员且没有最终用户有权访问 Handlebars 模板,则可以通过安装以下软件包来允许原型(prototype)访问:
npm install @handlebars/allow-prototype-access
下面是它的使用示例:
const express = require('express');
const Handlebars = require('handlebars')
const expressHandlebars = require('express-handlebars');
const {allowInsecurePrototypeAccess} = require('@handlebars/allow-prototype-access')
const app = express();
app.engine('handlebars', expressHandlebars({
handlebars: allowInsecurePrototypeAccess(Handlebars)
}));
app.set('view engine', 'handlebars');
...
另一种选择是使用 mongoose .lean() 函数。这样做的好处是比传统的 Mongoose 查询快得多。但它也有一些缺点。默认情况下,Mongoose 查询返回 Mongoose Document 类的实例。这些对象包含大量用于更改跟踪的内部状态,并具有其他方法,例如 .save()。启用精简选项告诉 Mongoose 跳过实例化完整的 Mongoose 文档,只返回纯 JavaScript 对象。
关于node.js - Express Handlebars 不会渲染数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59753149/
我的 Web 应用程序在后端使用 Node.js 和 Express。当违反内容安全策略 (CSP) 时,报告 URI 报告空对象。我的后台代码如下: app.use(bodyParser.urlen
在服务器端提供静态服务的方式在 Express 中似乎非常简单: To serve static files such as images, CSS files, and JavaScript fil
var express = require('express'); var app = express(); 这就是我们创建快速应用程序的方式。但是这个'express()'是什么?它是方法还是构造函
我在尝试安装时收到以下错误 express : npm ERR! code ERR_OSSL_PEM_NO_START_LINE npm ERR! errno ERR_OSSL_PEM_NO_STAR
如 express 所述routing guide和 this answer ,我们可以创建“迷你应用程序”并从主应用程序使用它。但是我看到一段代码,它在模块中使用 app 而不是 router ap
我正在写一个 NestJS应用。现在我想安装 Express中间件 express-openapi-validator . 但是,我无法让它工作。有一个 description for how to
我看过很多类似的帖子,似乎我声明的 var1 似乎需要在其他地方传递,但我似乎无法弄清楚。 public Expression> CreateEqualNameExpression(string ma
Express(或 Connect 的)bodyParser 中间件被标记为已弃用,建议用户改用: app.use(connect.urlencoded()) app.use(connect.json
我只是想知道这种看似尴尬的配置的原因是什么(来自 Getting Started w/ Apollo Server ), const server = new ApolloServer({ //
我正在尝试在表单组中写入表单控件特定的验证错误消息。我在网上找到了几个教程和示例 ( such as this one ),概述了一个看似简单的 *ngIf div,如果在控件上检测到错误,则显示错误
我有一个简单的 Express 应用程序,托管在 AWS 上,使用无服务器框架。 我正在使用 serverless-http 包装 express 应用程序以部署到 AWS lambda 函数,并使用
我最近在 mozilla 教程的帮助下安装了 node 和 express。我正在安装应用程序生成器的下一步,但是当我运行时 npm install express-generator -g 在我的终
我遇到过两种不同的方式来定义 express、use() 中间件,我想知道它们之间是否有任何区别,或者它是否只是语法糖? 一个 const app = express(); app.use(cors(
我试图让我的 Jade 模板编写一个相对于当前 URL 的超链接 ( )。 例如,我的 View 是从 http://localhost/cats 调用的它看起来像这样: extends layou
检查 Express 文档我在下面看到了这种解决方案: app.all('/*', function(req, res) { console.log('Intercepting request
我似乎无法弄清楚如何包含多个模型。 我有三个模型。Tabs, Servers, and PointsTabs hasMany ServerServers belongsTo Tabs and hasM
我已使用Web PI安装IIS Express。在托盘中,没有IIS Express图标。如何在不使用命令行的情况下启动IIS Express?我希望IIS永久运行,因此没有命令行。 最佳答案 参见R
我不想在我的网站上使用 Jade 或 EJS。如何在不默认使用 Jade 模板的情况下创建快速站点?谢谢 最佳答案 如果您想要的是直接为静态 html 文件提供缓存资源的可能性,同时仍然能够点击“/”
Express是否支持HTTP动词“PATCH”,例如: app.patch("/api/resource", function(req, res){ ... }); 我检查了文档,对我来说似乎还不清
我正在快速服务器中运行 vue SPA。问题是当使用历史模式并刷新页面时,我得到一个 404 not found 异常。我尝试使用 connect-history-api-fallback 但不起作用
我是一名优秀的程序员,十分优秀!