Wie sicher ist es Kunden zu erlauben, die Datei "Handlebar.js" zu bearbeiten

Question

Die Rails-Anwendung, die ich erstelle, muss den Benutzern erlauben, die Seitenvorlage zu bearbeiten.

Die Hauptsorge ist, wie sicher es ist, dass die Kunden die Vorlagen bearbeiten können. Das bringt die Erb-Templates aus der Gleichung.

Ich hatte flüssiges Markup und Handlebars.js angeschaut. Es gibt eine schöne Rails Integration für Lenker hier https://github.com/jamesarosen/handlebars-rails.

Ich würde lieber Lenker verwenden. Kann jemand bestätigen, wenn es Kunden sicher ist, Lenkervorlagen zu bearbeiten?

Answer 1

Seit Handlebars.js enthält keinen Ruby-Code, der ausgewertet werden muss - ja, es ist sicher für Server-Seite.

Da Handlebars.js (wie jedes andere Template-Engine) ermöglicht dem Benutzer HTML-Markup ändern (einfügen <script>,) - nein, es für die Client-Seite nicht sicher ist (es sei denn, Sie haben einige zusätzliche Hygienisierung)