顧客の編集をどのように安全にするかHandlebar.jsテンプレート

Question

ビルドしているRailsアプリケーションでは、ユーザーがページテンプレートを編集できるようにする必要があります。

主な懸念事項は、顧客がテンプレートを編集できるようにすることです。これはerbテンプレートを式の外に置きます。

私は液体マークアップとHandlebars.jsを見ていました。ハンドルバーに便利なRailsインテグレーションはhttps://github.com/jamesarosen/handlebars-railsです。

ハンドルバーを使用することをお勧めします。顧客がハンドルバーのテンプレートを編集できるようにするのがよいかどうかを誰かが確認できますか？

Answer 1

Handlebars.jsには評価が必要なRubyコードが含まれていないため、サーバー側では安全です。

Handlebars.jsので、（他のテンプレートエンジンなど）は、ユーザが（<script>、を挿入）HTMLマークアップを変更することができます - いいえ、それはクライアント側にとって安全ではありません