Насколько безопасно позволить клиенту редактировать шаблон Handlebar.js

Question

Приложение Rails, которое я создаю, должно позволять пользователям редактировать шаблон страницы.

Основная проблема заключается в том, насколько безопасно позволить клиентам редактировать шаблоны.Так что это выводит шаблоны erb из уравнения.

Я посмотрел на жидкостную разметку и Handlebars.js.Здесь есть хорошая интеграция с Rails для рулей https://github.com/jamesarosen/handlebars-rails.

Я бы предпочел использовать рули.Может ли кто-нибудь подтвердить, безопасно ли разрешать клиентам редактировать шаблоны руля?

Answer 1

Поскольку Handlebars.js не содержит никакого кода Ruby, который необходимо исключить - да, это безопасно для серверной стороны.

Поскольку Handlebars.js (как и любой другой движок шаблонов) позволяет пользователю изменять разметку HTML (вставка <script>, <iframe>) - нет, это не безопасно для клиентской стороны (если у вас нет дополнительной очистки)