Я новичок в freemarker, мне тоже нужно знать об этой проблеме, выбирайте ее или нет, я удалю XSS, но не знаю, безопасны ли другие функции freemarker, когда сайт позволяет пользователю редактировать свой шаблон?
Джон прав. И позволить пользователю на самом деле редактировать шаблоны freemarker сами по себе кажется странным. Если вы снова выводите пользовательский ввод (например, отображаете поисковый запрос на странице результатов), я бы предложил использовать встроенную строку? Html, это избавит вас от самых элементарных xss-атак (например, «вы искали»). '$ {термин? HTML}' ").
Итак, как говорили другие, это небезопасно. Однако, если эти пользователи являются сотрудниками вашей компании или что-то в этом роде (то есть, если они легко несут ответственность за злонамеренные действия), то об этом не может быть и речи. Для получения более подробной информации см .: http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
О боже, нет! Это в основном эквивалентно разрешению пользователю оценивать произвольный код. Удаление XSS по факту устраняет только одну потенциальную уязвимость. Они по-прежнему смогут выполнять множество других действий, таких как манипулирование параметрами POST или перенаправление страниц.