我想让最终用户使用EJS编辑他们自己的网站模板,但由于它似乎使用了evals并在服务器上运行,我不确定这是否会暴露出一个主要的安全问题。
如果我认为这是一个问题,是否有一个可以安全地向最终用户公开的模板引擎?
答案 0 :(得分:0)
是的,ejs可能是一个安全问题。
vm模块对您来说非常有帮助。
Handlebars或Mustache非常受欢迎,非开发人员可能更容易理解。 Jade很棒,但有eval问题,与HTML有很大不同。
我建议在节点“vm”中使用Handlebars或Mustache,需要仔细考虑并执行时间限制。