让用户指定RazorEngine模板有多危险？

作为一名web开发者，任何时候当你构建一个Web应用时，有责任确保你的应用程序能够做什么和什么是应该做的：在发生错误的时候优雅的处理错误；让用户获取不到他们不应该查看的数据；防止恶意用户对应用程序进行的干扰操作。

然而，详细的讨论如何去构建一个稳定的web应用程序是一个太过复杂的主题，这一篇短文设计的是构建基于Velocity的web应用程序常见的几个问题。短文是从一个开发者的角度写起的，他需要同大量的html模板开发人员和最终用户接触。我们鼓励读者发表自己的意见，其他问题和相关的设计建议请致信 Velocity 用户列表，或者直接联系作者，Will Glass-Husain。

Velocity 如何帮助开发者创建一个稳定的App

通常，Velocity 是一个html设计师容易学会，并且不会难用的web模板工具。这一点基于如下的几个要素：

Velocity 模板语言（VTL）是简单的。 使用几个简单的指令，外加应用本身定义的引用，需要学习的东西少（也不怎么凌乱）。

页面文件中不存储非展示用的信息。 对比JSP文件，它常常需要带上一个页面头文件。如果一个不懂技术的web设计师去掉了这个头部，那么这个JSP页面就不起作用了。在一个Velocity模板中这样的头部或者其他技术信息是不需要的。

在一个web页面中没有Java代码。 这样就消除了一些共有的错误和混乱设计，同时让恶意的页面编辑者去调用不必要的Java代码变得困难。

一个方法的异常不会阻塞一个页面的创建。 使用MethodExceptionEventHandler，一个方法异常可以被获取和记录日志。

一个无效的引用不会阻塞一个页面的创建。 模板指令中无效的引用通常被忽略不计。页面中一个无效的引用将会简单的把其引用参考字打印出来。（比如：$foo）。

基于如上的原因，大部分Velocity开发者将会发现：没有什么离奇的现象或者问题，页面以一种直接的方式被渲染。

基于Velocity稳定和安全性的具体问题

考虑安全和稳定要素时，你需要意识到基于Velocity的web应用程序的几个特性。

Velocity 是一个模板工具， 而不是一个框架。 它不解决任何像认证、访问控制、会话状态或者数据持久化这样的问题。

VTL方法调用实际上是Java的方法调用。 这意味着一个糟糕的velocity应用程序设计使得模板设计者改变系统的状态，直接执行SQL查询或者随意的实例化Java类。潜在的安全威胁将在下面被详细提到。

VTL引用具有Java类型。尽管对被模板编辑者是不可见的，每一个引用还是一个具有特定类型的Java对象。如果 $apple 是一个 integer 的 “1”， $orange是一个String 的“1”，$banana是一个 double 的 “1.0”，那么根据VTL这些对象没有一个是==（对等）的。典型的非技术html模板设计者可能会对此感到迷惑。（事实上，如果对象不是同一个类型的，会有对它们字符串值的比较。因此， 在VTL中， $apple和 $orange现在是对等的了。）

在构建安全，稳定的Velocity Web应用程序中的最佳实践。

如下所列是能够帮助你构建一个稳定的Velocity Web应用程序的最佳实践。它们包括：

在上下文环境context中审查所有不必要的方法。

编码HTML特殊字符，以避免交叉脚本漏洞。（cross-scripting）

使用最新且做了合适设置的app服务器。

进行适合生产中使用的Velocity配置