Rails 最终用户模板引擎：Liquid、Mustache 与其他？

Question

我正在创建一项服务，希望允许最终用户编辑网页的 HTML 模板，从而允许访问包含在模板中的特定“变量”。

我知道液体就是为此目的而设计的，是安全的（至少相对而言），并且在大量生产中使用。然而，我发现与 Mustache 这样的语言相比，这种语言对于最终用户来说相当复杂。

Mustache 听起来不错，但我担心安全性......它曾经用于最终用户模板吗？

基本上我正在寻找一个可以与 Rails 一起为最终用户使用的模板引擎，即：

1. 安全 - 不允许用户执行代码......至少在服务器上不允许。用户将被允许插入客户端 JavaScript。
2. 功能强大 - 允许最终用户使用提供的“变量”并在 #1 的上下文中创建他们可以想象的几乎任何网页
3. 简单 - 语法清晰且易于最终用户应用
4. 如果支持的话 奖励积分用 javascript 和其他语言呈现模板语法。

液体满足1& 2，但不是 3-4。小胡子符合 2-4，但我不确定 #1，这是没有商量余地的。

非常感谢任何见解、经验或评论。

Answer 1

Mustache 非常适合插值，如果您使用它进行 Javascript 评估，我无法想象它会让您面临服务器端漏洞。这是最简单、最强大的选择。我不知道非程序员是否会理解它，但我确信它比 Liquid 更简单。

另一种选择是使用现有的更简单的用户标记集（如 BBcode）或富文本编辑库（如 TinyMCE）。这些功能大大减少，但对于普通人来说更容易使用。