freemarker에 대한 새로운 소식입니다.이 문제에 대해서도 알고 싶습니다. 직접 선택하지 않겠습니까? XSS는 혼자서 제거 하겠지만 freemarker의 다른 기능은 안전하지 않습니다. 사이트에서 사용자가 템플릿을 수정할 수 있도록 허용 하시겠습니까?freemarker는 사용자가 템플릿을 편집 할 수 있도록 허용 할 때 안전합니까?
0
A
답변
0
아, 세상에! 이는 기본적으로 사용자가 임의 코드를 평가할 수있게하는 것과 같습니다. 사실 이후 XSS를 제거하면 하나의 잠재적 취약성 만 제거됩니다. 그들은 여전히 POST 매개 변수를 조작하거나 페이지 리디렉션을 수행하는 것과 같은 다른 많은 일을 할 수 있습니다.
0
John이 맞습니다. 사용자가 freemarker 템플릿 자체를 실제로 편집하게하는 것은 이상하게 보입니다. 사용자 입력을 다시 출력하는 경우 (예 : 결과 페이지에 검색어를 표시하는 것과 같이)? html 문자열 내장을 사용하여 제안하면 가장 기본적인 xss 공격으로부터 사용자를 구할 수 있습니다 (예 : "검색 한 '$ {term? html}' ').
0
다른 사람들이 말했듯이 안전하지 않습니다. 그러나 해당 사용자가 귀하의 회사 직원이거나 그와 비슷한 경우 (즉, 악의적 인 행위에 대해 쉽게 책임을 져야하는 경우), 이는 완전히 의문의 여지가 없습니다. 자세한 내용은 다음을 참조하십시오. http://freemarker.org/docs/app_faq.html#faq_template_uploading_security
관련 문제
- 1. 사용자가 파일을 업로드 할 수 있도록 허용
- 2. 사용자가 TColorBox 구성 요소에 값을 입력 할 수 있도록 허용
- 3. 신규 사용자가 Gmail 주소록에 초대 할 수 있도록 허용
- 4. "안전하게"사용자가 SQL을 사용하여 검색 할 수 있도록 허용
- 5. 사용자가 인라인 코멘트를 게시 할 수 있도록 허용
- 6. 미등록 된 페이팔 사용자가 결제 할 수 있도록 허용
- 7. 사용자가 보호 된 폴더에 파일을 업로드 할 수 있도록 허용
- 8. Drupal : 사용자가 양식을 사용하여 콘텐츠에 가입 할 수 있도록 허용
- 9. 사용자가 프로필 페이지에 맞춤 html을 추가 할 수 있도록 허용
- 10. 사용자가 계정을 삭제할 수 있도록 허용
- 11. 사용자가 데이터베이스 테이블을 다운로드, 편집 및 업로드 할 수 있도록 허용
- 12. 사용자가 username.host.com으로 이동 등록 할 때 허용
- 13. 사용자가 파일을 업로드 할 수 있도록 폴더를 보호하려면 어떻게해야합니까?
- 14. 사용자가지도에서 길 찾기를 추가 할 수 있도록 허용 (Google지도 API)
- 15. QTableView - 사용자가 셀을 편집 할 수 없음
- 16. 사용자가 레일스 3의 제출을 숨길 수 있도록 허용
- 17. 권한이없는 사용자가 RichFaces 스킨 CSS 파일에 액세스 할 수 있도록 허용
- 18. 사용자가 Google지도에 마커를 추가하고 좌표를 가져올 수 있도록 허용
- 19. 사용자가 jeditorpane에서 html 이미지 크기를 조정할 수 있도록 허용
- 20. PHP : 사용자가 특정 태그로 게시물을 만들 수 있도록 허용
- 21. 사용자가 페이지의 임의의 요소를 선택할 수 있도록 허용
- 22. 사용자가 테이블의 사용자 지정 쿼리를 만들 수 있도록 허용
- 23. Plesk의 도메인 사용자가 SVN 업데이트를 실행할 수 있도록 허용
- 24. 게스트 OS가 그래픽 어댑터에 직접 액세스 할 수 있도록 허용
- 25. 특정 웹 사이트에서만 PHP 페이지에 액세스 할 수 있도록 허용
- 26. 봄 - 사용자가 다른 사용자로 페이지를 볼 수 있도록 허용
- 27. 사용자가 j2me 자바 미들 렛 키보드 쿼티 E71 등의 입력 언어를 전환 할 수 있도록 허용
- 28. 사용자가 자신의 워크 플로 시나리오를 만들 수 있도록 허용
- 29. 은 드루팔 (Drupal 6의 모듈에만 사용자가 접근 할 수 있도록 허용 함)
- 30. Facebook - 사용자가 사용자 이름을 지정할 수 있도록 허용
Request ...와 같은 내장 var를 차단할 수있는 옵션이 있습니까? – StoneHeart