jiangkunou 2018-04-02 05:27 采纳率: 0%
浏览 1274
已结题

java中运行javascript代码有可能被注入攻击吗?

由于项目需要频繁增加小型服务,且不希望更新整个web服务。在和热更新机制以及脚本引擎的对比选择中,我们使用了ScriptEngineManager在java中运行js脚本。目前的调用机制是web页面发起带有脚本名和方法名的参数请求项目。项目中根据脚本名找到相应的脚本并执行传入的函数名,这里用的是ScriptEngineManager.invokeFunction。现在想请大家来讨论一下这种方式会不会存在被脚本注入的风险!感恩...
补充一点如下:由于业务的关系,不存在脚本和方法的调用权限问题,意思是在脚本外层已经做好了用户和脚本所对应的权限分配。这里的注入是指纯粹的代码注入,如提交js代码之类的参数。请各位前辈帮小弟讨论分析一下!

  • 写回答

6条回答 默认 最新

  • weixin_39578889 2018-04-02 05:25
    关注

    可能 通常都回打包成js'文件 防止注入

    评论

报告相同问题?

悬赏问题

  • ¥15 有赏,i卡绘世画不出
  • ¥15 如何用stata画出文献中常见的安慰剂检验图
  • ¥15 c语言链表结构体数据插入
  • ¥40 使用MATLAB解答线性代数问题
  • ¥15 COCOS的问题COCOS的问题
  • ¥15 FPGA-SRIO初始化失败
  • ¥15 MapReduce实现倒排索引失败
  • ¥15 ZABBIX6.0L连接数据库报错,如何解决?(操作系统-centos)
  • ¥15 找一位技术过硬的游戏pj程序员
  • ¥15 matlab生成电测深三层曲线模型代码