Python ha un markup di script sicuro, modificabile dall'utente per template come il liquido di RoR?

Question

Sto cercando un linguaggio di template, che gli utenti finali possano modificare in modo sicuro per personalizzare il loro html/tema di un'applicazione web.

Funziona su come funziona https://github.com/Shopify/liquid.

Answer 1

La suite Django (tra molte altre) ha uno templating language.

Answer 2

Pochi collegamenti a alcuni motori di template in Python. Spero sia questo che intendevi con la tua domanda.

http://jinja.pocoo.org/2/
http://docs.djangoproject.com/en/dev/topics/templates/
http://genshi.edgewall.org/
http://www.makotemplates.org/
http://www.cheetahtemplate.org/

Answer 3

La modalità sandbox Jinja2, http://jinja.pocoo.org/docs/sandbox/, sostiene di consentire l'esecuzione sicura di modelli attendibili. Non ho rivisto il codice, ma in una certa misura, la sicurezza dipende dalla difensività della codifica. La configurazione di default della sandbox consente alcune cose che possono essere sorprendenti, come la modifica di oggetti mutabili, quindi devi stare attento.

Answer 4

Django Template Language (DTL) non fornisce sandboxing, quindi non è necessario utilizzarlo per i modelli forniti dall'utente.

Django 1.11 Documentation stati:

Il sistema modello non è sicuro contro gli autori del modello non attendibili. Ad esempio, un sito non dovrebbe consentire agli utenti di fornire i propri modelli, poiché gli autori di modelli possono eseguire operazioni come eseguire attacchi XSS e accedere a proprietà di variabili di modello che potrebbero contenere informazioni riservate.