私はfreemarkerで新しく、この問題についても知っておく必要があります。私は自分でXSSを削除しますが、freemarkerの他の機能についてはわかりませんサイトでユーザーがテンプレートを編集できるようにしますか?freemarkerはユーザーがテンプレートを編集できるようにすると安全です
0
A
答えて
0
ああ、良さいい!これは基本的にユーザーが任意のコードを評価できるようにすることと同じです。事実の後XSSを削除すると、潜在的な脆弱性が1つだけ削除されます彼らは、POSTパラメータを操作したり、ページリダイレクトを実行したりするなど、いろいろなことをやり遂げることができます。
0
Johnが正しいです。そしてユーザーが実際にfreemarkerテンプレート自体を編集させることは奇妙に思えます。ユーザー入力を再度出力している場合(結果ページに検索用語を表示するなど)、html文字列を組み込みで使用することをお勧めします。これは、最も初歩的なxss攻撃からあなたを救います。 '$ {term?html}' ")。
0
他の人が言ったように、それは安全ではありません。ただし、そのユーザーがあなたの会社の従業員である場合(つまり、悪意のある行為に対して簡単に責任を負う場合)、それは完全に疑問ではありません。詳細については、http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
関連する問題
- 1. 顧客の編集をどのように安全にするかHandlebar.jsテンプレート
- 2. クライアントがHTMLテンプレートを編集できるようにするソリューション
- 3. QTableView - ユーザーがセルを編集できないようにする
- 4. Djangoのテンプレートマークアップは、レールの液体テンプレートのようなエンドユーザの編集に安全です。
- 5. ユーザーが編集できるようにする/ビューのiCloudが使用できなくなったときに
- 6. ユーザーがUITableViewセル内のテキストを編集できるようにする
- 7. ユーザーが編集/更新要求を提出できるようにする
- 8. Wordpressのテーマを他のユーザーが編集できるようにする
- 9. 安全なクッキーを編集するには?
- 10. は、私は、ユーザーがGridViewの上で編集を行う「をタブ」できるようにする必要が
- 11. SquareSpaceでテンプレートを編集するにはどうすればよいですか?
- 12. Googleはどのように複数のユーザーをGoogleドキュメントで編集することができますか?
- 13. 作成済みのシェイプやムービークリップの編集ポイントをユーザーが編集できるようにするにはどうすればいいですか?
- 14. 私の場合、r.javaを編集するのは安全ですか?
- 15. eclipseでdotcmsテンプレートを編集する
- 16. ListViewでセルを編集できるようにする
- 17. 匿名ユーザーには編集権限が必要ですが、この場合、一部のユーザーの投票データを編集することができます。
- 18. Tastypie - オーナーのみがリソースを編集できるようにするには
- 19. Matlab GUIで行を編集できないようにする
- 20. レールでschema.rbを手作業で編集することは安全だと考えられますか
- 21. djangoには、レールに液体があるように安全なユーザ編集可能なテンプレート言語がありますか?
- 22. jqueryとインラインでリンクを編集する - 編集中にリンクがクリックされないようにする
- 23. 誰にでもカレンダーを編集できるようにするには?
- 24. adminがフォーム認証を持つユーザーとしてページを編集できるようにしますか?
- 25. 安全でないコンテキストでのビットマップ編集 - 不安定性を避けるには?
- 26. C#でタブの名前を編集できるようにするには?
- 27. どのように私がアップロードプラグインプロセスを作ることができ、安全な
- 28. JavaScriptを使用したユーザーHTMLの編集と保存 - どれくらい安全ですか?
- 29. Android Studio/JetBrains IntelliJ IDEAでテンプレートを編集するには?
- 30. 信頼できないユーザーが使用するPythonテンプレートエンジンは安全ですか?
Request ...のような組み込みvarをブロックするオプションがありますか? – StoneHeart