什么是SSTI？

SSTI就是服务器端模板注入(Server-Side Template Injection)，实际上也是一种注入漏洞。

可能SSTI对大家而言不是很熟悉，但是相信大家很熟悉SQL注入。实际上这两者的思路都是相同的，因此可以类比来分析。

2、引发SSTI的真正原因

render_template渲染函数的问题

渲染函数在渲染的时候，往往对用户输入的变量不做渲染。

无功补偿

也就是说例如：{{}}在Jinja2中作为变量包裹标识符，Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。

用于无功补偿和谐波治理的装置如：无源电力滤波器，该设备兼有无功补偿和调压功能，一般要根据谐波源的参数和安装点的电气特性以及用户要求专门设计；静止无功补偿装置（SVC）装置是一种综合治理电压波动和闪变、谐波以及电压不平衡的重要设备。有源电力滤波器（APF），APF是一种新型的动态抑制谐波和补偿无功的电力电子装置，它能对频率和幅值都发生变化的谐波和无功电流进行补偿，主要应用于低压配电系统。

其中无功补偿技术的发展经历了从同步调相机→开关投切固定电容→静止无功补偿器（SVC）→引人注目的静止无功发生器SVG（STATCOM）的几个不同阶段