Python 用户生成的带烧瓶的Jinja 2模板
我正在编写一个web应用程序,用户可以在其中创建自己的设计。最简单的方法是允许他们上传自己的Jinja2模板。不过,我担心安全问题Python 用户生成的带烧瓶的Jinja 2模板,python,flask,jinja2,Python,Flask,Jinja2,我正在编写一个web应用程序,用户可以在其中创建自己的设计。最简单的方法是允许他们上传自己的Jinja2模板。不过,我担心安全问题 我应该注意哪些事情?我应该为此设置一个定制的Jinja 2环境吗?如果允许用户上传任意的jinja2模板,那么就允许他们上传任意的html和javascript,从而成为一家网络托管公司,并承担所有后果 您还必须小心让他们访问的变量,以便私有用户数据(如果有的话)彼此分开。它不仅允许人们添加任何Javascript代码,还可以在服务器上执行几乎任何Python代码。
我应该注意哪些事情?我应该为此设置一个定制的Jinja 2环境吗?如果允许用户上传任意的jinja2模板,那么就允许他们上传任意的html和javascript,从而成为一家网络托管公司,并承担所有后果
您还必须小心让他们访问的变量,以便私有用户数据(如果有的话)彼此分开。它不仅允许人们添加任何Javascript代码,还可以在服务器上执行几乎任何Python代码。请看一看