고객 편집을 허용하는 것이 얼마나 안전합니까? Handlebar.js 템플릿

Question

내가 만들고있는 Rails 애플리케이션은 사용자가 페이지 템플릿을 편집 할 수있게해야합니다.

주된 관심사는 고객이 템플릿을 편집하는 것이 얼마나 안전한지입니다. 따라서 erb 템플릿은 방정식에서 제외됩니다.

액체 마크 업과 Handlebars.js를 보았습니다. 여기에 핸들 모음을위한 멋진 레일 통합이 있습니다 https://github.com/jamesarosen/handlebars-rails.

나는 핸들 바를 선호한다. 고객이 핸들 바 템플릿을 편집 할 수 있는지 여부를 누군가가 확인할 수 있습니까?

Answer 1

Handlebars.js에는 평가가 필요한 루비 코드가 포함되어 있지 않으므로 서버 측은 안전합니다.

Handlebars.js 이후 (다른 템플릿 엔진 등)는 사용자가 (<script>, <iframe>를 삽입) HTML 마크 업을 변경할 수 있습니다 - 아니, 클라이언트 측에 대한 안전하지