freemarker는 사용자가 템플릿을 편집 할 수 있도록 허용 할 때 안전합니까?

Question

freemarker에 대한 새로운 소식입니다.이 문제에 대해서도 알고 싶습니다. 직접 선택하지 않겠습니까? XSS는 혼자서 제거 하겠지만 freemarker의 다른 기능은 안전하지 않습니다. 사이트에서 사용자가 템플릿을 수정할 수 있도록 허용 하시겠습니까?

Answer 1

아, 세상에! 이는 기본적으로 사용자가 임의 코드를 평가할 수있게하는 것과 같습니다. 사실 이후 XSS를 제거하면 하나의 잠재적 취약성 만 제거됩니다. 그들은 여전히 ​​POST 매개 변수를 조작하거나 페이지 리디렉션을 수행하는 것과 같은 다른 많은 일을 할 수 있습니다.

Answer 2

John이 맞습니다. 사용자가 freemarker 템플릿 자체를 실제로 편집하게하는 것은 이상하게 보입니다. 사용자 입력을 다시 출력하는 경우 (예 : 결과 페이지에 검색어를 표시하는 것과 같이)? html 문자열 내장을 사용하여 제안하면 가장 기본적인 xss 공격으로부터 사용자를 구할 수 있습니다 (예 : "검색 한 '$ {term? html}' ').

Answer 3

다른 사람들이 말했듯이 안전하지 않습니다. 그러나 해당 사용자가 귀하의 회사 직원이거나 그와 비슷한 경우 (즉, 악의적 인 행위에 대해 쉽게 책임을 져야하는 경우), 이는 완전히 의문의 여지가 없습니다. 자세한 내용은 다음을 참조하십시오. http://freemarker.org/docs/app_faq.html#faq_template_uploading_security