Esecuzione codice EL (SpEL) a molla

Question

Desidero utilizzare lo SpEL per valutare l'input dell'utente. Ma questo apre un buco di sicurezza perché anche lo SpEL enginge esegue codice e potrebbe avviare classi e accedere ad oggetti statici. Ad esempio T (System) .exit (0) esce dal sistema.

È possibile prevenire questo tipo di esecuzioni di codice?

Answer 1

Il modo per evitare questo è non valutare mai l'input dell'utente nella lingua dell'espressione.

Quasi non sarà mai possibile enumerare e quindi impedire l'esecuzione di tutti i possibili codici "cattivi".

Invece, è possibile utilizzare l'input dell'utente come variabili di ambiente (stringhe, numeri) con espressioni EL fisse.