mar*_*eus 11 ruby templates ruby-on-rails liquid mustache
我正在创建一项服务,我希望允许最终用户编辑网页的HTML模板,以允许访问特定的"变量"以包含在模板中.
我知道液体是为这个目的而设计的,是安全的(至少是相对的),并且正在大量生产中使用.但是,与Mustache相比,我发现最终用户的语言相当复杂.
Mustache听起来不错,但我担心安全问题......它曾被用于最终用户模板吗?
基本上我正在寻找一个模板引擎,我可以使用w/Rails为最终用户:
液体满足1和2,但不满足3-4.小胡子符合2-4,但我不确定#1,这是不容谈判的.
非常感谢任何见解,经验或评论.
Mustache 非常适合插值,如果您使用它进行 Javascript 评估,我无法想象它会让您面临服务器端漏洞。这是最简单、最强大的选择。我不知道非程序员是否会理解它,但我确信它比 Liquid 更简单。
另一种选择是使用现有的更简单的用户标记集(如 BBcode)或富文本编辑库(如 TinyMCE)。这些功能大大减少,但对普通人来说更容易使用。