В моем приложении rails я бы хотел, чтобы пользователи отправляли собственные «темы» для отображения данных различными способами.
Я думаю, что они могут получить данные в представлении, используя вызовы API, и я могу создать механизм аутентификации для этого. Также аутентифицированный API для сохранения данных. Так что это, вероятно, безопасно.
Но я изо всех сил пытаюсь разрешить пользователям загружать / отправлять свой собственный код для темы.
Я хочу, чтобы это работало как темы / плагины Wordpress, где люди могут загружать вещи. Но есть некоторые угрозы безопасности. Например, если я возьму загруженную «тему», которую отправит пользователь, и положу ее в свой собственный каталог где-то внутри приложения rails, каковы риски этого?
Если пользователь вставляет в свою тему какой-либо исполняемый код rails, даже если в тот момент он имеет полный доступ ко всем моделям, данным всех пользователей и т. Д. Даже от других пользователей. Так что это не хорошо.
Мне нужен какой-то способ, чтобы загруженные темы существовали в песочнице приложения rails, но я не нашел хорошего способа сделать это. Есть идеи?