java - 有什么方法可以通过 java.eval() 方法减轻代码注入的缺点?
问题描述
java.eval() 用于执行系统生成的 JS 代码。Veracode 显示代码注入漏洞。
解决方案
https://wiki.sei.cmu.edu/confluence/display/java/IDS52-J.+Prevent+code+injection
引用上面的链接:主要有2个合规的解决方案:
- 白名单 针对代码注入漏洞的最佳防御是防止在代码中包含可执行的用户输入。
- 安全沙箱 另一种方法是创建一个安全沙箱。
推荐阅读
- kubernetes - Kubectl 不允许从 GCP 中的节点查看集群中的资源
- html - 锚标签关闭后如何阻止文本可点击?
- python - Python 元组:我怎样才能只有一个元素作为对?
- c++ - 在c ++中逐个字符从字符串传递到int时不精确
- javascript - Ajax 重新加载页面而不是提交请求
- java - XPath 连接相同的标记名
- angular - 如何以角度访问另一个对象内的动态命名属性?
- php - 为什么空函数在对象成员调用时返回 true,而在变量时返回 false?
- javascript - 为什么我的机器人在使用一次后会因未定义的错误而崩溃?
- c# - 如何在Angular中正确传递标头参数?