由于项目需要频繁增加小型服务,且不希望更新整个web服务。在和热更新机制以及脚本引擎的对比选择中,我们使用了ScriptEngineManager在java中运行js脚本。目前的调用机制是web页面发起带有脚本名和方法名的参数请求项目。项目中根据脚本名找到相应的脚本并执行传入的函数名,这里用的是ScriptEngineManager.invokeFunction。现在想请大家来讨论一下这种方式会不会存在被脚本注入的风险!感恩...
补充一点如下:由于业务的关系,不存在脚本和方法的调用权限问题,意思是在脚本外层已经做好了用户和脚本所对应的权限分配。这里的注入是指纯粹的代码注入,如提交js代码之类的参数。请各位前辈帮小弟讨论分析一下!
java中运行javascript代码有可能被注入攻击吗?
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
6条回答
悬赏问题
- ¥15 HFSS 中的 H 场图与 MATLAB 中绘制的 B1 场 部分对应不上
- ¥15 如何在scanpy上做差异基因和通路富集?
- ¥20 关于#硬件工程#的问题,请各位专家解答!
- ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
- ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
- ¥30 截图中的mathematics程序转换成matlab
- ¥15 动力学代码报错,维度不匹配
- ¥15 Power query添加列问题
- ¥50 Kubernetes&Fission&Eleasticsearch
- ¥15 報錯:Person is not mapped,如何解決?