用于面向客户的 CMS 的内联标记/模板引擎

Question

有许多托管 CMS 应用程序为您提供某种内联标记/模板引擎，使您可以将内容输出到页面中。

例如，托管的 cms 应用程序允许您将模板编辑为自定义 html/css，但它们还让您在页面上执行一些基本的内联代码来执行此操作，例如注入文章标题、日期等. （对象属性）并让您循环访问预定义的集合。

他们是如何做到这一点的？

它们如何阻止用户访问您不希望他们访问的其他对象？

例如，我让他们输出您的连接字符串！哈哈，

这是一个示例：http://wiki.shopify.com/UsingLiquid

Answer 1

通常，最安全的方法是创建一种独立的脚本语言 - 运行时中的运行时，其由主机运行时填充的内置对象范围非常有限，并且没有一个是危险的。显然，在运行时中执行的脚本无法到达其自身的范围之外，除非运行时本身提供了一种机制来执行此操作。