我有一个基于 MySQL 数据库数据生成报告的应用程序。由于客户也想使用这个报告应用程序并且不想使用我们蹩脚的报告样式而是他们自己的样式,我想实现一个功能,让他们使用 HTML、CSS 和 Javascript 上传自己的样式。由于他们显然需要报告中的动态内容,因此必须使用 Django 模板标签。让客户使用每个 Django 模板标签是否存在任何安全问题,或者我应该为允许用户使用的特定 django 模板标签实现某种“降价语法”?
【问题讨论】:
他们根本不需要使用 django 模板标签,你需要为他们提供一个 html 模板,他们可以用自己的 css 样式覆盖。
然后,您将他们的首选项存储在 FileField 或大 charfield 中,然后在模板中引用它们以在需要的地方加载他们的样式。
即
<link rel="stylesheet" href="{{ user.styling.stylesheet }}" type="text/css" />
<style>{{ user.styling.css }}</style>
【讨论】:
</style><script>evil code</script><style> 开始他们的领域,那么第二个可能会有自己的安全问题,但如果客户愚蠢到自己毒害自己的错误跨度>