不受信任的用户可以安全地使用哪个Python模板引擎?
我正在寻找一个好的独立Python模板引擎,它可以安全地防止代码注入,用于允许不受信任的用户编写和编辑模板的应用程序中。有人能推荐这样的引擎吗?starcom引用了jinja 在“功能”下,用户表示: 沙盒执行模式。模板执行的每个方面都是 监控并明确列入白名单或黑名单,无论是什么 首选。这使得执行不受信任的模板成为可能不受信任的用户可以安全地使用哪个Python模板引擎?,python,security,templates,template-engine,code-injection,Python,Security,Templates,Template Engine,Code Injection,我正在寻找一个好的独立Python模板引擎,它可以安全地防止代码注入,用于允许不受信任的用户编写和编辑模板的应用程序中。有人能推荐这样的引擎吗?starcom引用了jinja 在“功能”下,用户表示: 沙盒执行模式。模板执行的每个方面都是 监控并明确列入白名单或黑名单,无论是什么 首选。这使得执行不受信任的模板成为可能 starcom引用了jinja 在“功能”下,用户表示: 沙盒执行模式。模板执行的每个方面都是 监控并明确列入白名单或黑名单,无论是什么 首选。这使得执行不受信任的模板成为可能
starcom引用了jinja 在“功能”下,用户表示: 沙盒执行模式。模板执行的每个方面都是 监控并明确列入白名单或黑名单,无论是什么 首选。这使得执行不受信任的模板成为可能
你也许可以看看jinja,让不受信任的用户访问网站的模板听起来很可怕。这部分取决于你在你的视图上下文中包含/提供哪些变量/名称空间给模板。例如,如果你让
os
这样的东西可用(通过导入它的其他模块或变量直接或隐式访问),那将是很危险的@ayanami,我正在为我的Django项目的一个组件寻找一个安全的模板引擎,在那里工作人员可以编写电子邮件模板,为全名、电子邮件地址、客户相关信息等使用占位符。可以使用用户编写的模板;我不想让一些狡猾的人通过模板引擎利用我的网站。你也许可以看看jinja,让不受信任的用户访问网站的模板听起来很可怕。这部分取决于你向模板提供的视图上下文中包含/提供了哪些变量/名称空间。例如,如果你让os
这样的东西可用(通过导入它的其他模块或变量直接或隐式访问),那将是很危险的@ayanami,我正在为我的Django项目的一个组件寻找一个安全的模板引擎,在那里工作人员可以编写电子邮件模板,为全名、电子邮件地址、客户相关信息等使用占位符。可以使用用户编写的模板;我不希望一些狡猾的人利用我的网站通过模板引擎。