给用户编辑Marko模板的选项安全吗？

Question

我想使marko模板可由客户编辑。我知道用户可以添加脚本和XSS问题。问题是关于server side的。

如果我从nodejs运行marko模板，那么这个模板来自一个用户。该模板是否有可能在服务器上执行恶意代码？

换句话说:我如何才能阻止用户做这样的事情：

<if test="require('readFileSync').deleteAllMyFile...">
   Hi
</if>

Answer 1

Marko通过设计允许模板中任意的JavaScript代码(出于性能原因)。目前，这使得编译后的Marko模板不适合在模板不受信任的情况下使用。然而，由于这已经出现了几次，我们正在探索通过在沙箱中加载已编译模板来确保它们安全的选择。您可以将此讨论作为以下Github问题的一部分：https://github.com/marko-js/marko/issues/192