java中运行javascript代码有可能被注入攻击吗？

由于项目需要频繁增加小型服务，且不希望更新整个web服务。在和热更新机制以及脚本引擎的对比选择中，我们使用了ScriptEngineManager在java中运行js脚本。目前的调用机制是web页面发起带有脚本名和方法名的参数请求项目。项目中根据脚本名找到相应的脚本并执行传入的函数名,这里用的是ScriptEngineManager.invokeFunction。现在想请大家来讨论一下这种方式会不会存在被脚本注入的风险！感恩...
补充一点如下：由于业务的关系，不存在脚本和方法的调用权限问题，意思是在脚本外层已经做好了用户和脚本所对应的权限分配。这里的注入是指纯粹的代码注入，如提交js代码之类的参数。请各位前辈帮小弟讨论分析一下！

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

6条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
weixin_39578889 2018-04-02 05:25
关注
可能通常都回打包成js'文件防止注入

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Java代码无法编译运行 idea java javascript
2023-01-12 22:57

回答 2 已采纳这是说，这个类 Party 和方法 buildInvite 没有被调用过【no usages】另外out目录是编译输出目录，src才是java代码目录，代码请放到这个下面
先学javascript还是先学java？ java-ee javascript
2021-03-01 11:25

回答 8 已采纳 Java和JavaScript其实并不是同一类东西，JavaScript当时是因为Java很流行、很吃香，所以蹭热度改名成JavaScript。两者有相同之处也有不同之处。至于“学懂Java之后再
java .html和.jsp代码中的图片显示？ java javascript
2022-03-19 13:42

回答 2 已采纳 /1.jpg试下
Java面试不通过？这篇文章你看了吗？
2020-08-06 11:12

程序yang的博客 Java面试题千千万，个人觉得没有最好的答案，只有最适合的答案；本文的宗旨是为读者朋友们整理一份详细而又权威的面试清单。此文是前段时间本人根据部分文章汇总压在草稿箱（由于时间关系，忘了加上对应的原创链接...
学习java后端还要要学习前端知识吗? html5 java javascript
2021-09-19 09:50

回答 5 已采纳如果是要做全栈开发，前端的学习是必须的，现在好多的前端程序员也在要求会一到两门后端语言。不管是以后工作还是个人提升，学习前端都是很必要的，毕竟现在H5太强大了，推荐学习一下，但不用了解太深。
Eclipse上JSP代码的java程序片里面很多报错，但是丝毫不影响运行，为什么？ java javascript
2022-05-23 00:07

回答 6 已采纳是这样的，首先编辑器Eclipse只是我上学的时候用到过，文中提到print、Integer等报错，我猜想是Eclipse没有识别JSP文件的部分内容，但是不代表这么写是错误的，只是JSP文件部分内容
IDEA中的JavaScript代码显示灰色波浪线且无代码提示，是设置的问题吗 intellij-idea java javascript
2021-06-14 23:53

回答 2 已采纳去除波浪线在setting里面找到Editor——>Inspections——>General——>Duplicated Code 代码提示
如何避免JavaScript 注入攻击？
2018-09-27 21:26

一盘牛肉的博客什么是 JavaScript 注入攻击？每当接受用户输入的内容并重新显示这些内容时，网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时...
如何将JavaScript的变量转换成Java变量 eclipse java java-ee javascript tomcat
2019-04-14 17:06

回答 2 已采纳你首先要知道同一个页面中，后台代码永远是在服务器端先执行的，后台代码执行后才把页面传到客户端浏览器。页面传到浏览器之后才开始执行前端的js代码，这时后台代码已经不存在了。所以前端js的变量
请问前端JS代码运行的效率高还是后台JAVA代码 java javascript
2017-05-19 16:56

回答 4 已采纳我觉得好像一般都是按你说的思路吧，能在前端校验的就在前端校验，一旦涉及到前后端交互肯定就会占用带宽，速度肯定不如直接在前端操作快
在css中写javascript代码的疑问? css javascript
2018-11-08 08:23

回答 1 已采纳不建议使用这种会给人带来困惑的奇淫巧技,没有任何价值,IE现在正在被扫入到历史的垃圾堆里好好学好基础知识才是正确的做法..
Java代码质量分析Sonar
2023-06-18 22:41

赵广陆的博客目录 1. sonar安装 1.1 简介 1.1.1 客户端 1.1.2 sonar 版本区分 1.1.2.1 社区版 1.1.2.2 开发者版 1.1.2.3 企业版 1.2 安装部署 1.2.1 修改文件句柄数 1.2.2 创建挂载目录 ...1.3.1.1 静态代码分析优势
同一个jsp页面，java代码中变量怎么传到js中 java javascript
2018-01-08 06:24

回答 31 已采纳你这样没问题啊，你如果要swfpath1的值，需要在你的document.getElementById后面需要再加上value
注入攻击
2022-07-27 14:09

悠然予夏的博客注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能够控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。解决注入攻击的核心思想“数据与代码分离”原则。...
java拦截器实现防止SQL注入与xss攻击拦截
2018-08-22 22:13

han_chuang的博客二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面，要求输...
没有解决我的问题, 去提问

悬赏问题

¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场部分对应不上
¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？