因此,根据之前的question of mine,我决定启动一个允许django设计师上传模板和css文件的网站。我将提供一组定义良好的上下文输入和对象,然后呈现用户提供的模板。这将有可能为新手提供大量的例子,让设计师有机会伸出翅膀。
我需要一种方法来确定模板是否“安全”呈现。希望确保没有恶意的javascript,疯狂的路径请求会破坏我的网络服务器等等。现在我知道没有保证的方法来消毒这些,但我想要的东西比“信任我的用户”更好。
欢迎任何建议。
答案 0 :(得分:3)
我知道这并不是您所希望的,但最安全的选择是允许最终用户保存其模板的副本,呈现html&所有标签的css都已转义。您可以允许他们上传完成主题的图片。
您的第二个选择是允许他们上传任何内容,但在您审核了他们提交的内容之前不会将其显示在网站上。