我不知道这是否真的很危险,但是,正如Google使用Google Apps脚本提供的HTML和Javascript(正如here所解释的那样),他们使用Caja Compiler来“清理和沙箱HTML“)。
我想知道如果我允许用户使用Jinja2模板编辑HTML ,让他们访问稍后会提供的某些服务器端变量,是否会出现任何不良情况。会发生什么坏事?
Obs:我不关心用户HTML是否丑陋或是否会破坏页面的其余部分。
答案 0 :(得分:1)
允许最终用户编辑HTML或JavaScript可能会导致您的网站容易受到XSS攻击 - https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)。
如果用户查看其他用户创建的内容,他们的脚本可能会通过将值发送给攻击者的服务器来破坏cookie值或用户会话。
答案 1 :(得分:0)
HTML可能会发生不好的事情;大多数模板引擎都会发生更糟糕的事情,包括Jinja2。像任意代码执行一样。这就是为什么有一个sandbox。