Java 中的安全模板引擎有哪些？

Question

我正在寻找一个 Java 模板引擎，它不允许在模板中执行代码，仅在标签中执行。

在完美的世界中，我会寻找与 Jinja2 （或 Django 模板引擎）。 基于Django，我创建时会使用模板标签，但用户无法创建模板标签（通过执行代码）。

我会在 Play 中实现它！框架。

感谢您的帮助！

Answer 1

StringTemplate 就是您要寻找的。

其显着特点是
它严格执行模型视图
与其他引擎不同的是，分离。
严格分离使得网站和
代码生成器更加灵活
可维护； 它还提供了一个
出色的防御恶意行为
模板作者

Answer 2

从您的要求来看，您所需要的似乎只是一个模板引擎，它不允许任何类似于 JSP 的 scriptlet（在 <% 和 %> 之间）的内容，并且仅基于标签和/或属性......

如果是这样，我想向您推荐 Thymeleaf http://www.thymeleaf.org （这里是 与 JSP 的比较），我是其中的作者。但如果我没记错的话，这些要求也可以通过 Velocity http://velocity.apache.org，所以由你来选择！

Answer 3

如果您想提供一种简单的方法来修改模板，而无需了解数百个自定义标签并实现要访问的明确定义的功能，同时可以自由地如何呈现它，那么您应该考虑被动模板。这确保了不会添加恶意代码:) Java 中具有被动模板的强大引擎是 Snippetory。但是，如果您想控制访问，访问控制可能也是一个好主意。