Seguridad de las plantillas de texto
Las plantillas de texto tienen los siguientes problemas de seguridad:
Las plantillas de texto son vulnerables a las inserciones de código arbitrario.
Si el mecanismo que usa el host para buscar un procesador de directivas no es seguro, se podría ejecutar un procesador de directivas malintencionado.
Código arbitrario
Al escribir una plantilla, puede colocar cualquier código dentro de las etiquetas <# #>. Esto permite ejecutar código arbitrario desde dentro de una plantilla de texto.
Asegúrese de obtener plantillas de orígenes de confianza. Asegúrese de advertir a los usuarios finales de la aplicación que no ejecuten plantillas que no provengan de orígenes de confianza.
Procesador de directivas malintencionadas
El motor de plantillas de texto interactúa con un host de transformación y uno o varios procesadores de directivas para transformar el texto de la plantilla en un archivo de salida. Para obtener más información, consulte El proceso de transformación plantilla de texto.
Si el mecanismo que usa el host para buscar un procesador de directivas no es seguro, se corre el riesgo de que se ejecute un procesador de directivas malintencionadas. El procesador de directivas malintencionadas podría proporcionar código que se ejecuta en modo FullTrust cuando se ejecuta la plantilla. Si crea un host de transformación de plantillas de texto personalizado, debe usar un mecanismo seguro, como el registro, para que el motor busque procesadores de directivas.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de