如何使用 JSR 223 保護腳本?
[英]How to secure scripting with JSR 223?
問題描述
我使用 Groovy 作為動態腳本引擎,以允許我的 web 應用程序的管理員用戶創建小腳本作為接口解決方案的一部分,例如。 做簡單的字符串操作,tokenize 等等。
不幸的是,這打開了一個很大的漏洞,因為默認情況下腳本引擎會執行任何操作。
我在這里描述了一個演示應用程序: http://javadude.wordpress.com/2011/06/29/creating-a-zk-groovy-console/
Object value = shell.evaluate("whatever groovy script");
您可以執行System.exit(0)關閉 AS 甚至 shell 命令,如"ls -l".execute().text或只是窺探系統設置println InetAddress.localHost.hostAddress
我可以在執行之前進行字符串檢查,例如過濾System.xyz或execute.xyz
有什么經驗或食譜嗎?
謝謝
斯文
1 個解決方案
解決方案1
4 已采納 2011-07-08 09:54:08
使用 groovy 1.8,您可以自定義編譯器配置
這里有一篇博客文章解釋了更多:
http://www.jroller.com/melix/entry/customizing_groovy_compilation_process
Java +腳本引擎:JSR223 +類似替代品之間的差異
[英]Java + scripting engines: differences between JSR223 + similar alternatives
OSGi 從根本上與 JSR-223 腳本語言發現不兼容嗎?
[英]Is OSGi fundamentally incompatible with JSR-223 Scripting Language Discovery?
ArrayList上的indexOf函數 <Integer> 在JSR 223(Rhino腳本引擎)中不起作用
[英]indexOf function on ArrayList<Integer> not work in JSR 223 (Rhino scripting engine)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.