有许多托管的CMS应用程序为您提供某种内联标记/模板引擎,可以将内容输出到页面中。
例如,托管的cms应用程序允许您将模板编辑为custom html / css,但他们也允许您在页面上执行一些基本的内联代码来执行此操作,例如注入文章标题,日期等(对象属性),让你循环通过预定义的集合。
他们是如何做到的?
它们如何阻止用户访问您不希望他们访问的其他对象?
e.g。想象他们输出你的连接字符串!洛尔
答案 0 :(得分:1)
通常,最安全的方法是创建一个自包含的脚本语言 - 运行时内的运行时,它具有由主机运行时填充的内置对象范围非常有限,并且没有一个是危险的。显然,除非运行时本身提供了一种机制,否则在运行时中执行的脚本无法到达它自己的Universe之外。