我正在构建的Rails应用程序需要允许用户编辑页面模板。
主要关注的是允许客户编辑模板的安全性。因此,将erb模板排除在等式之外。
我看过液体标记和Handlebars.js。这里的把手有一个很好的Rails集成https://github.com/jamesarosen/handlebars-rails。
我更愿意使用把手。有人可以确认让客户编辑车把模板是否安全?
答案 0 :(得分:2)
由于Handlebars.js不包含任何需要被篡改的Ruby代码 - 是的,它对服务器端是安全的。
由于Handlebars.js(与任何其他模板引擎一样)允许用户更改HTML标记(插入<script>,<iframe>) - 不,这对客户端来说是不安全的(除非你有一些额外的消毒) )