Symfony2 Twig 安全策略答案

【问题标题】：Symfony2 Twig Security PolicySymfony2 Twig 安全策略
【发布时间】：2015-11-06 02:32:52
【问题描述】：

我们想在我们的网站上引入自定义模板。用户可以选择为自己的网站（使用相同的系统）创建和发布自己的模板。

问。我想知道 twig 默认配置对于第三方实施是否足够安全。

但我假设它不是。为了使其安全，我们必须对树枝和函数、变量、方法的限制使用安全策略......

问。我想知道我们如何在 symfony 中更改 twig 的安全策略设置？因此商店模板的所有模板都将受到安全保护。

【问题讨论】：

【解决方案1】：

对于您的第一个问题：可能不是。 Twig 为模板语言/实现提供了很多逻辑，如果您将其开放给一般使用，那么就会有很多滥用的机会。

至于您的第二个问题，您可能想查看 Twig Sandbox extension，它是随 Twig 开箱即用的。它可以让您在一定程度上控制什么是允许的，什么是不允许的，如果您需要更细粒度的东西，它是一个很好的开发起点。

【讨论】：

有没有关于如何在 symfony2 中做到这一点的教程？
如果有，恐怕我不知道。一个快速的谷歌并没有发现任何值得注意的东西，所以你可能不得不深入研究代码或者只是修补，直到你得到想要的结果。 this question 的答案可能会有所帮助。
是的，在发帖之前我已经看到了，但并没有真正的帮助。实际获得工作示例会很好，即使它很小:)