标签: python django security templating
假设我需要一个模板系统,用户可以使用在线编辑器在线编辑它。
所以他们可以放置if标签,循环标签等,但仅限于我想要注入模板的特定对象。
这可以安全地解决安全问题吗?
即。它们以某种方式输出sql连接字符串信息或编写允许标记和注入对象之外的东西。
答案 0 :(得分:3)
是的,使用具有沙盒功能的模板引擎,例如jinja2