[英]Security Issue if Javascript evaluated by Java on the Server
如果我評估了從瀏覽器提交的Javascript代碼,那么在服務器上(使用Rhino Javascript Engine的Java Webapp),這會帶來安全風險嗎?
進行Java評估時,僅要知道其是否為有效的Javascript。
我不希望評估結果能給我任何回報。 我不希望它存儲任何東西或觸摸任何東西。 它所要做的就是告訴我用戶提交了有效的JavaScript。
如果這帶來了安全問題,我可以采取一些措施來確保JavaScript不會對系統造成任何損害嗎?
是的,這帶來了安全風險,因為從Rhino內的JavaScript可以訪問Java運行時中的任何內容,包括(例如)所有java.io
類。
您可以確保所有對Rhino的呼叫均在SecurityManager的管轄范圍內進行,該SecurityManager基本上限制了所有事情。 使用JDK的ScriptEngine代碼,沒有內置的方法可以執行此操作。 我不知道與Mozilla掛鈎一起可用於Rhino的工具是什么。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.