我计划创建一项服务,允许用户使用在服务器上运行的 TeX Live 在线呈现 LaTeX 文档,并且我想启用需要的某些功能(例如 gnuplot)--shell-escape。
我的问题是:有没有一种方法可以以足够安全的方式启用 shell 逃逸?
并且:在服务器上编译不受信任的 LaTeX 代码时,我还应该考虑其他安全问题吗?
我看到texmf.conf有以下列表:
shell_escape_commands = \
bibtex,bibtex8,\
extractbb,\
gregorio,\
kpsewhich,\
makeindex,\
repstopdf,\
r-mpost,\
texosquery-jre8,\
但是,我发现它gnuplot不在列表中,但是gnuplot当我放入\pgfkeys{/pgf/plot/gnuplot call={gnuplot}}源时仍然可以运行,这似乎是一个安全问题。