के साथ मैं एक वेब एप्लिकेशन लिख रहा हूं जहां उपयोगकर्ता अपना खुद का डिज़ाइन बना सकते हैं। ऐसा करने का सबसे आसान तरीका उन्हें अपने स्वयं के जिन्जा 2 टेम्पलेट्स अपलोड करने की अनुमति देकर होगा। हालांकि, मैं सुरक्षा के बारे में चिंतित हूं।उपयोगकर्ता द्वारा जेनरेट किए गए जिनजा 2 टेम्पलेट्स फ्लास्क
मुझे किस चीज के लिए सावधान रहना चाहिए? क्या मुझे इसके लिए एक कस्टम जिन्जा 2 पर्यावरण स्थापित करना चाहिए?
यदि आप उपयोगकर्ताओं को मनमाने ढंग से jinja2 टेम्पलेट्स अपलोड करने की अनुमति देते हैं, तो आप उन्हें मनमानी HTML और जावास्क्रिप्ट को अनुमति देते हैं और इस प्रकार सभी परिणामों के साथ एक वेब होस्टिंग कंपनी बन जाते हैं।
आपको उन चर के साथ सावधान रहना होगा जिन्हें आप उन्हें पहुंच देते हैं, ताकि निजी उपयोगकर्ता डेटा (यदि कोई हो) को एक-दूसरे से अलग रखा जाए।
यह न केवल लोगों को जावास्क्रिप्ट कोड जोड़ने देगा, बल्कि सर्वर पर लगभग किसी भी पायथन कोड को निष्पादित करेगा। कृपया http://jinja.pocoo.org/docs/sandbox/
मुझे बिल्कुल पता नहीं है कि आप किस प्रकार की वेबसाइट बना रहे हैं, लेकिन उदाहरण के लिए, रेडडिट ने अच्छा किया है कि सब्रेडडिट मॉडरेटर अपनी स्वयं की सीएसएस फाइलें अपलोड कर सकते हैं।