由用户生成为Ruby和.NET所用的安全模板

作者 Jonathan Allen 译者 侯伯薇 发布于 2011年12月12日

领域

语言 & 开发

主题

Ruby ,

动态语言 ,

Web框架 ,

ASP.NET ,

.NET ,

语言 ,

编程 ,

架构 ,

流体 ,

模板语言

分享到

大多数模板引擎都愿意尽可能给用户赋予更多功能，而Liquid则不同，它的设计哲学是要限制用户所能做的事情。目的是要让最终用户能够创建自己的模板，而不需要陷于服务器的安全问题。

Liquid最初是为电子商务平台Shopify创建的，从2006年就已经开始正式使用。Tim Jones使用DotLiquid这个名字把这个引擎迁移到了.NET上。这两个版本都不允许模板访问底层平台，从而保证了安全性。它们使用的是高度受限的指令，仅限于使用名为“过滤器（filters）”的简单函数以及条件语句。两个版本的Liquid标记语法都一样。

渲染模板的过程包括两个步骤。首先，源代码会被解析为可重用的Template对象。然后，在需要的时候会调用模板的render方法。由于模板无法访问Ruby或者.NET的变量，所以需要使用数据字典或者键值对（key-value pairs）来传递这些变量。

开发者可以创建他们自己由用户支持的过滤器。新的过滤器可以暴露给特定模板或者注册给所有模板使用。不管采用哪种方式，它们本质上都是会接受并返回字符串的函数。对于新的标签块则有些复杂，需要初始化（initialization）和渲染（rendering）两个阶段。幸运的是，大多数琐碎问题都是通过对基类的调用处理的。

Jürgen Bäurle还向我们展示了如何创建DotLiquid针对SharePoint的特定扩展。

译者 侯伯薇 是InfoQ中文站架构社区编辑，有多年对日和国内项目开发经验，目前关注企业中技术与实际业务之间的融合和协作。