如何安全扩展Spring EL表达式?
摘要:spring中el表达式安全和扩展 0. 背景 Spring的核心技术SpEL底层采用反射的方式获取对象属性、调用方法、创建对象等。如果不加以限制有非常大的安全漏洞。 如果访问权限过大,系统接收的字符串,很容易就执行恶意程序.比如在上一章
spring中el表达式安全和扩展
0. 背景
Spring的核心技术SpEL底层采用反射的方式获取对象属性、调用方法、创建对象等。如果不加以限制有非常大的安全漏洞。
如果访问权限过大,系统接收的字符串,很容易就执行恶意程序.比如在上一章 Spring使用el表达式 第一小节中执行的表达式T(Runtime).getRuntime().exec('calc')就轻松运行了windows的计算器。