【发布时间】:2014-06-01 23:31:09
【问题描述】:
我想让最终用户使用 EJS 编辑他们自己的网站模板,但由于它似乎使用 evals 并在服务器上运行,我不确定这是否会暴露出重大的安全问题。
如果我是正确的,这是一个问题,是否有一个模板引擎可以安全地暴露给最终用户?
【问题讨论】:
标签: node.js security express templating ejs
【发布时间】:2014-06-01 23:31:09
【问题描述】:
是的,ejs 可能是一个安全问题。
vm 模块在这里可能对您很有帮助。
Handlebars 或 Mustache 非常流行,对于非开发人员来说可能更容易理解。 Jade 很棒,但有 eval 问题,与 HTML 非常不同。
我建议在节点“vm”中使用 Handlebars 或 Mustache,但要谨慎考虑并有执行时间限制。
【讨论】: