让我们一起来构建一个模板引擎（四）_html/css

집

웹 프론트엔드

HTML 튜토리얼

让我们一起来构建一个模板引擎（四）_html/css_WEB-ITnose

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 24, 2016 am 11:15 AM

在上篇文章中我们的模板引擎实现了对 include 和 extends 的支持，到此为止我们已经实现了模板引擎所需的大部分功能。在本文中我们将解决一些用于生成 html 的模板引擎需要面对的一些安全问题。

转义

首先要解决的就是转义问题。到目前为止我们的模板引擎并没有对变量和表达式结果进行转义处理，如果用于生成 html 源码的话就会出现下面这样的问题 ( template3c.py ):

>>> from template3c import Template>>> t = Template('<h1 id="title">{{ title }}</h1>')>>> t.render({'title': 'hello<br />world'})'<h1 id="hello-br-world">hello<br />world</h1>'

很明显 title 中包含的标签需要被转义，不然就会出现非预期的结果。这里我们只对 & " ' >

html_escape_table = {    '&': '&',    '"': '"',    '\'': '&apos;',    '>': '>',    '<': '<',}def html_escape(text):    return ''.join(html_escape_table.get(c, c) for c in text)

转义效果:

>>> html_escape('hello<br />world')'hello<br />world'

既然有转义自然也要有禁止转义的功能，毕竟不能一刀切否则就丧失灵活性了。

class NoEscape:    def __init__(self, raw_text):        self.raw_text = raw_textdef escape(text):    if isinstance(text, NoEscape):        return str(text.raw_text)    else:        text = str(text)        return html_escape(text)def noescape(text):    return NoEscape(text)

最终我们的模板引擎针对转义所做的修改如下(可以下载 template4a.py ):

class Template:    def __init__(self, ..., auto_escape=True):        ...        self.auto_escape = auto_escape        self.default_context.setdefault('escape', escape)        self.default_context.setdefault('noescape', noescape)        ...    def _handle_variable(self, token):        if self.auto_escape:            self.buffered.append('escape({})'.format(variable))        else:            self.buffered.append('str({})'.format(variable))    def _parse_another_template_file(self, filename):        ...        template = self.__class__(                ...,                auto_escape=self.auto_escape        )        ...class NoEscape:    def __init__(self, raw_text):        self.raw_text = raw_texthtml_escape_table = {    '&': '&',    '"': '"',    '\'': '&apos;',    '>': '>',    '<': '<',}def html_escape(text):    return ''.join(html_escape_table.get(c, c) for c in text)def escape(text):    if isinstance(text, NoEscape):        return str(text.raw_text)    else:        text = str(text)        return html_escape(text)def noescape(text):    return NoEscape(text)

效果:

>>> from template4a import Template>>> t = Template('<h1 id="title">{{ title }}</h1>')>>> t.render({'title': 'hello<br />world'})'<h1 id="hello-lt-br-gt-world">hello<br />world</h1>'>>> t = Template('<h1 id="noescape-title">{{ noescape(title) }}</h1>')>>> t.render({'title': 'hello<br />world'})'<h1 id="hello-br-world">hello<br />world</h1>'>>>

exec 的安全问题

由于我们的模板引擎是使用 exec 函数来执行生成的代码的，所以就需要注意一下 exec 函数的安全问题，预防可能的服务端模板注入攻击（详见使用 exec 函数时需要注意的一些安全问题）。

首先要限制的是在模板中使用内置函数和执行时上下文变量( template4b.py ):

class Template:    ...    def render(self, context=None):        """渲染模版"""        namespace = {}        namespace.update(self.default_context)        namespace.setdefault('__builtins__', {})   # <---        if context:            namespace.update(context)        exec(str(self.code_builder), namespace)        result = namespace[self.func_name]()        return result

效果:

>>> from template4b import Template>>> t = Template('{{ open("/etc/passwd").read() }}')>>> t.render()Traceback (most recent call last):  File "", line 1, in module>  File "/Users/mg/develop/lsbate/part4/template4b.py", line 245, in render    result = namespace[self.func_name]()  File "", line 3, in __func_nameNameError: name 'open' is not defined

然后就是要限制通过其他方式调用内置函数的行为:

>>> from template4b import Template>>> t = Template('{{ escape.__globals__["__builtins__"]["open"]("/etc/passwd").read()[0] }}')>>> t.render()'#'>>>>>> t = Template("{{ [x for x in [].__class__.__base__.__subclasses__() if x.__name__ == '_wrap_close'][0].__init__.__globals__['path'].os.system('date') }}")>>> t.render()Mon May 30 22:10:46 CST 2016'0'

一种解决办法就是不允许在模板中访问以下划线 _ 开头的属性。为什么要包括单下划线呢，因为约定单下划线开头的属性是约定的私有属性，不应该在外部访问这些属性。

这里我们使用 dis 模块来帮助我们解析生成的代码，然后再找出其中的特殊属性。

import disimport ioclass Template:    def __init__(self, ..., safe_attribute=True):        ...        self.safe_attribute = safe_attribute    def render(self, ...):        ...        func = namespace[self.func_name]        if self.safe_attribute:            check_unsafe_attributes(func)        result = func()def check_unsafe_attributes(code):    writer = io.StringIO()    dis.dis(code, file=writer)    output = writer.getvalue()    match = re.search(r'\d+\s+LOAD_ATTR\s+\d+\s+<span class='MathJax_Preview'><img src='http://python.jobbole.com/wp-content/plugins/latex/cache/tex_528889fac10d588d0c4bcca5fc09d9ee.gif'   style="max-width:90%" class='tex' alt="(?P<attr>_[^" /></span><script type='math/tex'>(?P<attr>_[^</script>]+)<span class='MathJax_Preview'><img src='http://python.jobbole.com/wp-content/plugins/latex/cache/tex_8e9262bd0cfe5666042f5b56e0808688.gif'   style="max-width:90%" class='tex' alt="',                      output)    if match is not None:        attr = match.group('attr')        msg = "access to attribute '{0}' is unsafe.".format(attr)        raise AttributeError(msg)

效果:

>>> from template4c import Template>>> t = Template("{{ [x for x in [].__class__.__base__.__subclasses__() if x.__name__ == '_wrap_close'][0].__init__.__globals__['path'].os.system('date') }}")>>> t.render()Traceback (most recent call last):  File "<stdin>", line 1, in <module>  File "/xxx/lsbate/part4/template4c.py", line 250, in render    check_unsafe_attributes(func)  File "/xxx/lsbate/part4/template4c.py", line 296, in check_unsafe_attributes    raise AttributeError(msg)AttributeError: access to attribute '__class__' is unsafe.>>>>>> t = Template('<h1 id="title">{{ title }}</h1>')>>> t.render({'title': 'hello<br />world'})'<h1 id="hello-lt-br-gt-world">hello<br />world</h1>'

这个系列的文章到目前为止就已经全部完成了。

如果大家感兴趣的话可以尝试使用另外的方式来解析模板内容, 即: 使用词法分析/语法分析的方式来解析模板内容（欢迎分享实现过程）。

P.S. 整个系列的所有文章地址：

让我们一起来构建一个模板引擎（三）
让我们一起来构建一个模板引擎（二）
让我们一起来构建一个模板引擎（一）

P.S. 文章中涉及的代码已经放到 GitHub 上了: https://github.com/mozillazg/lsbate

打赏支持我写出更多好文章，谢谢！
打赏作者

打赏支持我写出更多好文章，谢谢！

关于作者：mozillazg

好好学习，天天向上。个人主页 · 我的文章 · 1 ·

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

HTML : 구조, CSS : 스타일, 자바 스크립트 : 동작Apr 18, 2025 am 12:09 AM

웹 개발에서 HTML, CSS 및 JavaScript의 역할은 다음과 같습니다. 1. HTML은 웹 페이지 구조를 정의하고, 2. CSS는 웹 페이지 스타일을 제어하고 3. JavaScript는 동적 동작을 추가합니다. 그들은 함께 현대 웹 사이트의 프레임 워크, 미학 및 상호 작용을 구축합니다.

HTML의 미래 : 웹 디자인의 진화 및 트렌드Apr 17, 2025 am 12:12 AM

HTML의 미래는 무한한 가능성으로 가득합니다. 1) 새로운 기능과 표준에는 더 많은 의미 론적 태그와 WebComponents의 인기가 포함됩니다. 2) 웹 디자인 트렌드는 반응적이고 접근 가능한 디자인을 향해 계속 발전 할 것입니다. 3) 성능 최적화는 반응 형 이미지 로딩 및 게으른로드 기술을 통해 사용자 경험을 향상시킬 것입니다.

HTML vs. CSS vs. JavaScript : 비교 개요Apr 16, 2025 am 12:04 AM

웹 개발에서 HTML, CSS 및 JavaScript의 역할은 다음과 같습니다. HTML은 컨텐츠 구조를 담당하고 CSS는 스타일을 담당하며 JavaScript는 동적 동작을 담당합니다. 1. HTML은 태그를 통해 웹 페이지 구조와 컨텐츠를 정의하여 의미를 보장합니다. 2. CSS는 선택기와 속성을 통해 웹 페이지 스타일을 제어하여 아름답고 읽기 쉽게 만듭니다. 3. JavaScript는 스크립트를 통해 웹 페이지 동작을 제어하여 동적 및 대화식 기능을 달성합니다.

HTML : 프로그래밍 언어입니까 아니면 다른 것입니까?Apr 15, 2025 am 12:13 AM

Htmlisnotaprogramminglanguage; itisamarkuplanguage.1) htmlstructuresandformatswebcontentusingtags.2) itworksporstylingandjavaScriptOfforIncincivity, WebDevelopment 향상.

HTML : 웹 페이지 구조 구축Apr 14, 2025 am 12:14 AM

HTML은 웹 페이지 구조를 구축하는 초석입니다. 1. HTML은 컨텐츠 구조와 의미론 및 사용 등을 정의합니다. 태그. 2. SEO 효과를 향상시키기 위해 시맨틱 마커 등을 제공합니다. 3. 태그를 통한 사용자 상호 작용을 실현하려면 형식 검증에주의를 기울이십시오. 4. 자바 스크립트와 결합하여 동적 효과를 달성하기 위해 고급 요소를 사용하십시오. 5. 일반적인 오류에는 탈수 된 레이블과 인용되지 않은 속성 값이 포함되며 검증 도구가 필요합니다. 6. 최적화 전략에는 HTTP 요청 감소, HTML 압축, 시맨틱 태그 사용 등이 포함됩니다.

텍스트에서 웹 사이트로 : HTML의 힘Apr 13, 2025 am 12:07 AM

HTML은 웹 페이지를 작성하는 데 사용되는 언어로, 태그 및 속성을 통해 웹 페이지 구조 및 컨텐츠를 정의합니다. 1) HTML과 같은 태그를 통해 문서 구조를 구성합니다. 2) 브라우저는 HTML을 구문 분석하여 DOM을 빌드하고 웹 페이지를 렌더링합니다. 3) 멀티미디어 기능을 향상시키는 HTML5의 새로운 기능. 4) 일반적인 오류에는 탈수 된 레이블과 인용되지 않은 속성 값이 포함됩니다. 5) 최적화 제안에는 시맨틱 태그 사용 및 파일 크기 감소가 포함됩니다.

HTML, CSS 및 JavaScript 이해 : 초보자 안내서Apr 12, 2025 am 12:02 AM

WebDevelopmentReliesonHtml, CSS 및 JavaScript : 1) HtmlStructuresContent, 2) CSSSTYLESIT, 및 3) JAVASCRIPTADDSINGINTERACTIVITY, BASISOFMODERNWEBEXPERIENCES를 형성합니다.

HTML의 역할 : 웹 컨텐츠 구조Apr 11, 2025 am 12:12 AM

HTML의 역할은 태그 및 속성을 통해 웹 페이지의 구조와 내용을 정의하는 것입니다. 1. HTML은 읽기 쉽고 이해하기 쉽게하는 태그를 통해 컨텐츠를 구성합니다. 2. 접근성 및 SEO와 같은 시맨틱 태그 등을 사용하십시오. 3. HTML 코드를 최적화하면 웹 페이지로드 속도 및 사용자 경험이 향상 될 수 있습니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

MinGW - Windows용 미니멀리스트 GNU

이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.