Насколько безопасны django-шаблоны из непроверенных источников?

Стопятисотая облачная cms, думаю, какой шаблонизатор предоставить пользователям. Т.е. у них есть верстка, и достаточно лишь распихать шаблонные теги для элементов, загрузить, а движок-джанго сам их подхватит и будет отображать.

Уже пару дней думаю - писать свой велосипед - с особенным тщанием подходя к безопасности или можно взять стандартный джанговский? В принципе, не могу придумать, как бы поломать платформу, используя только стандартные средства шаблонизатора.

Прав ли я? И можно ли спокойно его использовать?
  • Вопрос задан
  • 2785 просмотров
Пригласить эксперта
Ответы на вопрос 2
yttrium
@yttrium
Если со стороны интерпретатора шаблона опасности ждать. шаблон прошерстить на предмет {% {{ и тд. то всё должно быть хорошо.
Если со стороны яваскрипта, то надо на каждого создателя шаблонов домен отдельный заводить.
Ответ написан
Комментировать
С ошибками синтаксиса нужно будет что-то придумывать (В смысле как их показать автору шаблона и т.п.). А вот сама защита там - довольно хороша, шаблонизатор python не позволяет. Если конечно вы не напишете такой templatetag, который позволит.
Если хотите быть уверенным - откройте django.template.defaulttags, django.template.defaultfilters, ну и все те, которые доступны для {% load ... %} .
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы