我正在编写一个Web应用程序,用户可以在其中创建自己的设计。最简单的方法是允许他们上传自己的Jinja 2模板。但是,我担心安全问题。
我应该谨慎的是什么?我应该为此设置自定义Jinja 2环境吗?
答案 0 :(得分:2)
它不仅可以让人们添加任何Javascript代码,还可以在服务器上执行几乎所有Python代码。请查看http://jinja.pocoo.org/docs/sandbox/
答案 1 :(得分:1)
如果您允许用户上传任意jinja2模板,您允许他们任意html和javascript,从而成为一个网络托管公司,带来所有后果。
您还必须小心处理他们可以访问的变量,以便私人用户数据(如果有)保持彼此分离。