我在Django中創建了一個小型SaaS應用程序。它收集來自不同組織的網絡服務器的數據。偶爾它會自動發送通知郵件給他們的客戶(域名所有者)。讓用戶編輯電子郵件中應用程序中的電子郵件Django模板是否安全?
我想讓我們的用戶(主持人)在發送郵件之前將電子郵件模板更改爲他們的喜好/需求。電子郵件模板是普通的Django模板,包括一些可用的變量。所以,我爲電子郵件模板創建了一個模型。用戶可以通過表單進行編輯。每個電子郵件模板都可以訪問有限數量的模板變量。
我需要注意哪些安全問題/風險?或者是建議這種方法。
我的方法目前是針對電子郵件的服務器端渲染。我還檢查了一些客戶端渲染解決方案,比如Dust.js,但我還不確定它會對我有幫助。
感謝您的快速回復。直到現在,我還沒有找到任何直接的答案,因此,我發佈了這個問題。 – 2015-02-23 14:41:59
...關於你的代碼片段,上下文被設置爲一組變量。用戶只能使用該組來編輯'template_name.txt'。注射有危險嗎? – 2015-02-23 14:43:21
當然,如果您使用我的代碼示例,他們可以'注入'user.objects.all並獲取所有用戶信息。所以唯一的危險是你在上下文變量中提供的內容。只要你小心,不應該有任何真正的風險。 – 2015-02-23 15:21:56