用于用户模板的 RazorEngine - 安全性？

Question

这是对THIS 问题的更新，因为 V3 现已推出一段时间：

我也在考虑将RazorEngine 用于邮件模板（甚至更多）。
现在是否有“足够的安全模式”可供用户定义模板？

使用IsolatedTemplateService，我可以避免用户访问我的域对象，但是在旧问题中也讨论过的其他内容（例如编辑/删除文件）呢？

还有什么关于“手动”访问数据库（如果文件访问是可能的，或者在最坏的情况下是简单的暴力破解，则通过从配置文件中读取连接字符串）和例如将用户添加为管理员？

有没有办法为IsolatedTemplateService/为IsolatedTemplateService创建的自定义AppDomain“禁用”所有这些东西？

Answer 1

我能够通过不使用RazorEngine 来解决这个问题，而是自己实现（基于那里的一些代码）。

RazorEngine 的主要问题如下：
对于编译剃须刀模板所需的CodeDomProvider，您需要“完全信任”AppDomain，但IsolatedTemplateService 确实在新的AppDomain 中执行“一切”，因此编译模板失败。

我通过将它分成两部分来解决这个问题：

1. 编译模板
2. 渲染模板

我在“主要AppDomain”中执行第一步，而在“受限AppDomain”中只执行第2步。

还有一个额外的问题：
如果您“在内存中”编译模板（=> 而不生成 *.dll 文件），这是由 RazorEngine 完成的，它会直接加载到当前的 AppDomain 中，因为它“继承”了我不想要的然后是域权限。
因此，我禁用了它并在“通用模板文件夹”中生成了一个 *.dll。
所以编译后我有一个*.dll 文件，其中包含尚未在任何地方加载的模板。

第二个AppDomain 是使用以下权限集创建的：

PermissionSet permSet = new PermissionSet(PermissionState.None);
permSet.AddPermission(new SecurityPermission(SecurityPermissionFlag.Execution));
permSet.AddPermission(new FileIOPermission(FileIOPermissionAccess.Read, templatePath));
permSet.AddPermission(new ReflectionPermission(ReflectionPermissionFlag.RestrictedMemberAccess));

第一个权限需要执行任何代码，第二个是允许AppDomain从我的公共模板文件夹中加载生成的程序集，第三个是对反射的有限支持（仅在加载的程序集中，但不是即在System.*) 中支持dynamic，所以我可以使用ViewBag。
其他一切都是禁止的：

• templatePath 之外没有文件访问权限
• 没有网络访问权限
• 没有 SQL Server 访问权限

然后我在这个受限域中调用Render 方法，该方法加载适当的程序集并呈现模板。此方法还支持超时，然后终止渲染，以避免像 Kris 建议的 while (true) ; DOS 攻击。

到目前为止，这似乎工作正常。我现在确实将其发布为IsolatedRazor，包括NuGet package。 May RazorEngine 可以将其合并为例如RestrictedIsolatedTemplateService 左右...