我们想在我们的网站上引入自定义模板。用户可以选择为自己的网站(使用相同的系统)创建和发布自己的模板。
。我想知道如果twig默认配置是足够安全的第三方实现。
但我认为它不是。为了保证它的安全性,我们必须使用安全策略来控制和限制函数、变量、方法……
。我想知道我们如何在symfony中更改安全策略设置?因此,所有用于存储模板的模板都将受到安全保护。
对于你的第一个问题:可能不会。Twig为模板语言/实现提供了大量的逻辑,如果你把它开放给大众使用,就会有很多被滥用的机会。
至于你的第二个问题,你可能想看看Twig Sandbox扩展,它是随Twig开箱即用的。它允许您在一定程度上控制什么是允许的,什么是不允许的,如果您需要更细粒度的东西,这是一个很好的开发起点。