大多数模板引擎都愿意尽可能给用户赋予更多功能,而Liquid则不同,它的设计哲学是要限制用户所能做的事情。目的是要让最终用户能够创建自己的模板,而不需要陷于服务器的安全问题。
Liquid最初是为电子商务平台Shopify创建的,从2006年就已经开始正式使用。Tim Jones使用DotLiquid这个名字把这个引擎迁移到了.NET上。这两个版本都不允许模板访问底层平台,从而保证了安全性。它们使用的是高度受限的指令,仅限于使用名为“过滤器(filters)”的简单函数以及条件语句。两个版本的Liquid标记语法都一样。
渲染模板的过程包括两个步骤。首先,源代码会被解析为可重用的Template对象。然后,在需要的时候会调用模板的render方法。由于模板无法访问Ruby或者.NET的变量,所以需要使用数据字典或者键值对(key-value pairs)来传递这些变量。
开发者可以创建他们自己由用户支持的过滤器。新的过滤器可以暴露给特定模板或者注册给所有模板使用。不管采用哪种方式,它们本质上都是会接受并返回 字符串的函数。对于新的标签块则有些复杂,需要初始化(initialization)和渲染(rendering)两个阶段。幸运的是,大多数琐碎问题 都是通过对基类的调用处理的。
Jürgen Bäurle还向我们展示了如何创建DotLiquid针对SharePoint的特定扩展。
查看英文原文:Safe User-Generated Templates for Ruby and .NET