开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何创建安全的JEXL(脚本)沙箱？

创建安全的JEXL（Java Expression Language）沙箱是为了在执行JEXL脚本时保护应用程序的安全。以下是一些建议和步骤来创建一个安全的JEXL沙箱：

使用JEXL引擎的Sandbox功能： JEXL引擎提供了一个名为Sandbox的功能，可以限制脚本在执行过程中访问的资源。要创建一个Sandbox，可以使用以下代码：

JexlEngine jexl = new JexlEngine();
JexlSandbox sandbox = new JexlSandbox();
jexl.setSandbox(sandbox);

限制脚本的执行时间：为了防止恶意脚本导致的潜在性能问题，可以限制脚本的执行时间。可以使用以下代码来实现：

jexl.setExecutionLimit(100); // 设置脚本执行时间限制为100毫秒

限制脚本的内存使用：为了防止恶意脚本导致的内存溢出问题，可以限制脚本的内存使用。可以使用以下代码来实现：

jexl.setMemoryLimit(1024 * 1024); // 设置脚本内存使用限制为1MB

限制脚本的堆栈深度：为了防止恶意脚本导致的堆栈溢出问题，可以限制脚本的堆栈深度。可以使用以下代码来实现：

jexl.setStackOverflowLimit(100); // 设置脚本堆栈深度限制为100

限制脚本的变量数量：为了防止恶意脚本导致的变量数量过多的问题，可以限制脚本的变量数量。可以使用以下代码来实现：

jexl.setMaximumVariableCount(1000); // 设置脚本变量数量限制为1000个

限制脚本的函数数量：为了防止恶意脚本导致的函数数量过多的问题，可以限制脚本的函数数量。可以使用以下代码来实现：

jexl.setMaximumFunctions(100); // 设置脚本函数数量限制为100个

限制脚本的操作符数量：为了防止恶意脚本导致的操作符数量过多的问题，可以限制脚本的操作符数量。可以使用以下代码来实现：

jexl.setMaximumOperators(1000); // 设置脚本操作符数量限制为1000个

限制脚本的引用深度：为了防止恶意脚本导致的引用深度过多的问题，可以限制脚本的引用深度。可以使用以下代码来实现：

jexl.setMaximumReferenceDepth(10); // 设置脚本引用深度限制为10层

限制脚本的属性深度：为了防止恶意脚本导致的属性深度过多的问题，可以限制脚本的属性深度。可以使用以下代码来实现：

jexl.setMaximumPropertyAccess(10); // 设置脚本属性深度限制为10层

限制脚本的数组大小：为了防止恶意脚本导致的数组大小过大的问题，可以限制脚本的数组大小。可以使用以下代码来实现：

jexl.setMaximumArraySize(1000); // 设置脚本数组大小限制为1000个元素

通过以上步骤，可以创建一个安全的JEXL沙箱，保护应用程序的安全。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

java解析表达式Jexl

在项目中，我们可以使用一些表达式来判断是否需要触发警告。例如一些常见的表达式及其含义：

03

风控规则引擎（一）：Java 动态脚本

这种方式代码简单，如果规则简单且不经常变化可以通过这种方式，在业务改变的时候，重新编写代码即可。

01

性能测试|JMeter逻辑控制器（十）

在实际工作中，当使用JMeter做性能测试脚本或者接口测试脚本时，当遇到需要对不同的条件做不同的操作时，我们可以使用JMeter中如果（If）控制器来实现。

01

高级性能测试系列《19.循环控制器、foreach控制器和if控制器》

给你一个西瓜，但是不切成多块，切成两半。用个勺子挖着吃，我也不知道吃多少口能把西瓜吃完。

04

性能测试|基于JMeter 完成典型电商场景(首页浏览)的性能压测

之前的测试中单独抽离出了一个注册登录的场景，而实际的电商场景中，绝大多数都是已经登录并保持登录状态的，用户的登录信息可能被保存在浏览器的 cookie 中或在 App 的 localstorage 中，更多的是拿到现有的 cookie 去做验证;

02

JMeter函数和变量11

前言在jmeter中提供了功能强大的内置函数来帮助我们处理字符串、文件读写、计算、运行外部脚本等等能力。要想在项目中切实运用来jmeter完成复杂的压测场景，函数和变量是必须掌握的高阶能力。下面

06

jmeter压测学习45-逻辑控制器之如果（If）控制器

当遇到需要对不同的条件做不同的操作时，我们可以使用 JMeter 中 if 控制器来实现。

03

JMeter36个内置函数及11个新增函数介绍

JMeter内置了36个函数，这些函数可以通过函数助手进行编辑和测试。了解这些函数，不仅能提高JMeter的使用熟练度，也有助于知晓测试工具或测试框架通用的函数有哪些，在自主设计时，作为参考借鉴。

02

Apache Commons工具集类库简单说明和使用

1.2.简介 Apache Commons是一个非常有用的工具包，解决各种实际的通用问题，下面是一个简述表，详细信息访问 http://jakarta.apache.org/commons/index.html BeanUtils Commons-BeanUtils 提供对 Java 反射和自省API的包装 Betwixt Betwixt提供将 JavaBean 映射至 XML 文档，以及相反映射的服务. Chain Chain 提供实现组织复杂的处理流程的“责任链模式”. CLI CLI 提供针对命令行参数，选项，选项组，强制选项等的简单API. Codec Codec 包含一些通用的编码解码算法。包括一些语音编码器， Hex, Base64, 以及URL encoder. Collections Commons-Collections 提供一个类包来扩展和增加标准的 Java Collection框架 Configuration Commons-Configuration 工具对各种各式的配置和参考文件提供读取帮助. Daemon 一种 unix-daemon-like java 代码的替代机制 DBCP Commons-DBCP 提供数据库连接池服务 DbUtils DbUtils 是一个 JDBC helper 类库，完成数据库任务的简单的资源清除代码. Digester Commons-Digester 是一个 XML-Java对象的映射工具，用于解析 XML配置文件. Discovery Commons-Discovery 提供工具来定位资源 (包括类) ，通过使用各种模式来映射服务/引用名称和资源名称。. EL Commons-EL 提供在JSP2.0规范中定义的EL表达式的解释器. FileUpload FileUpload 使得在你可以在应用和Servlet中容易的加入强大和高性能的文件上传能力 HttpClient Commons-HttpClient 提供了可以工作于HTTP协议客户端的一个框架. IO IO 是一个 I/O 工具集 Jelly Jelly是一个基于 XML 的脚本和处理引擎。 Jelly 借鉴了 JSP 定指标签，Velocity, Cocoon和Xdoclet中的脚本引擎的许多优点。Jelly 可以用在命令行， Ant 或者 Servlet之中。 Jexl Jexl是一个表达式语言，通过借鉴来自于Velocity的经验扩展了JSTL定义的表达式语言。. JXPath Commons-JXPath 提供了使用Xpath语法操纵符合Java类命名规范的 JavaBeans的工具。也支持 maps, DOM 和其他对象模型。. Lang Commons-Lang 提供了许多许多通用的工具类集，提供了一些java.lang中类的扩展功能 Latka Commons-Latka 是一个HTTP 功能测试包，用于自动化的QA,验收和衰减测试. Launcher Launcher 组件是一个交叉平台的Java 应用载入器。Commons-launcher 消除了需要批处理或者Shell脚本来载入Java 类。.原始的 Java 类来自于Jakarta Tomcat 4.0 项目 Logging Commons-Logging 是一个各种 logging API实现的包裹类. Math Math 是一个轻量的，自包含的数学和统计组件，解决了许多非常通用但没有及时出现在Java标准语言中的实践问题. Modeler Commons-Modeler 提供了建模兼容JMX规范的Mbean的机制. Net Net 是一个网络工具集，基于 NetComponents 代码，包括 FTP 客户端等等。 Pool Commons-Pool 提供了通用对象池接口，一个用于创建模块化对象池的工具包，以及通常的对象池实现. Primitives Commons-Primitives提供了一个更小，更快和更易使用的对Java基本类型的支持。当前主要是针对基本类型的 collection。. Validator The commons-validator提供了一个简单的，可扩展的框架来在一个XML文件中定义校验器 (校验方法)和校验规则。支持校验规则的和错误消息的国际化。

01

Jmeter函数分类及自定义开发

Jmeter强大之处是其开源性和可扩展性，所以Jmeter拥有大量丰富的插件和元件，还有各种好用的函数，如果能巧妙应用函数助手里的函数，就能让性能测试脚本插上翅膀，实现各种复杂的计算和逻辑应用场景。

05

Nexus Repository Manager 3 几次表达式解析漏洞

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞，编号为CVE-2020-10199[1]，CVE-2020-10204[2]，都是由Github Secutiry Lab团队的@pwntester发现。由于之前Nexus3的漏洞没有去跟踪，所以当时diff得很头疼，并且Nexus3 bug与安全修复都是混在一起，更不容易猜到哪个可能是漏洞位置了。后面与@r00t4dm师傅一起复现出了CVE-2020-10204[3]，CVE-2020-10204[4]是CVE-2018-16621[5]的绕过，之后又有师傅弄出了CVE-2020-10199[6]，这三个漏洞的根源是一样的，其实并不止这三处，官方可能已经修复了好几处这样的漏洞，由于历史不太好追溯回去，所以加了可能，通过后面的分析，就能看到了。还有之前的CVE-2019-7238[7]，这是一个jexl表达式解析，一并在这里分析下，以及对它的修复问题，之前看到有的分析文章说这个漏洞是加了个权限来修复，可能那时是真的只加了个权限吧，不过我测试用的较新的版本，加了权限貌似也没用，在Nexus3高版本已经使用了jexl白名单的沙箱。

01

性能工具之JMeter TPS 限制与动态调节

在压测时，“控量”有时候是需要的，JMeter 是根据线程数大小来控制压力强弱的，但我们制定的压测目标中的指标往往是TP），这就给测试人员带来了不便之处，必须一边调整线程数，一边观察 TPS 达到什么量级了。

03

Java动态脚本运用

一般的需求可使用上述动态脚本实现，如果遇到业务规则更为复杂、规模更大、对功能和性能有更高要求的需求时，可考虑更为专业的规则引擎和计算/表达式引擎。

01

java执行 string code

工作当中需要执行 string 类型的 java code ,之前有同事用过 mvel ，调研之后发现太多于重量级了，我就想安安静静的执行一段 java 代码然后得到返回值。后来由调研了一下 jexl3 ，相比于 mvel 用起来简单方便还能满足需求。

03

Java 表达式详解

最早接触的表达式解析是在上数据结构的时候，当时课设作业是 “ 做一个简单的四则混合运算语句解析并计算结果 ”，简单说就是计算器。

03

Jmeter函数助手

1.__Random：产生0-10之间的随机数【__RadomString：随机生成字符函数同__Random】

02

10-逻辑控制器

IF条件控制器 Interpret Condition as Variable Expression?默认勾选：条件结果为true才会执行子取样器需要使用{__jexl3(,)}和{__groov

03

Jmeter(九) - 从入门到精通 - JMeter逻辑控制器 - 上篇（详解教程）

Jmeter官网对逻辑控制器的解释是：“Logic Controllers determine the order in which Samplers are processed.”。

06

JMeter 逻辑控制之IF条件控制器

逻辑控制之IF条件控制器测试环境 JMeter-5.4.1 循环控制器介绍添加While Controller 右键线程组->添加->逻辑控制器->While控制器 📷 控制器面板介绍添加后，

02

Java | 在 Java 中执行动态表达式语句: 前中后缀、SpEL、Groovy、Jexl3

规则引擎是一种嵌入在应用程序中的组件，它可以将业务规则从业务代码中剥离出来，使用预先定义好的语义规范来实现这些剥离出来的业务规则；规则引擎通过接受输入的数据，进行业务规则的评估，并做出业务决策。

02

获取对象属性类型、属性名称、属性值的研究：反射和JEXL解析引擎

先简单介绍下反射的概念：java反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意方法和属性；这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制。反射是java中一种强大的工具，能够使我们很方便的创建灵活的代码，这些代码可以在运行时装配。在实际的业务中，可能会动态根据属性去获取值。工具类如下： package com.yaoguang.common.utils.field; import java.beans.Bean

05

性能测试|JMeter逻辑控制器（一）

Jmeter官网对逻辑控制器的解释是：“Logic Controllers determine the order in which Samplers are processed.”。

02

高级性能测试系列《20. 事务控制器、在性能测试中，看聚合报告的前提条件是？》

但是，接口测试、自动化测试脚本，不能直接用于性能测试，需要进行性能转换，才能用于性能测试。

02

为 Node.js 应用建立一个更安全的沙箱环境

在一些应用中，我们希望给用户提供插入自定义逻辑的能力，比如 Microsoft 的 Office 中的 VBA，比如一些游戏中的 lua 脚本，FireFox 的「油猴脚本」，能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情，扩展了能力，满足用户的个性化需求。

01

（译）为容器提供更好的隔离：沙箱容器技术概览

既然主流 IT 工业都在采用基于容器的基础设施（云原生方案），那么了解这一技术的短板就很重要了。Docker、LXC 以及 RKT 等传统容器都是共享主机操作系统核心的，因此不能称之为真正的沙箱。这些技术的资源利用率很高，但是受攻击面积和潜在的攻击影响都很大，在多租户的云环境中，不同客户的容器会被同样的进行编排，这种威胁就尤其明显。主机操作系统在为每个容器创建虚拟的用户空间时，不同容器之间的隔离是很薄弱的，这是造成上述问题的根本原因。基于这样的现状，真正的沙箱式容器，成为很多研发工作的焦点。多数方案都对容器之间的边界进行了重新架构，以增强隔离。本文覆盖了四个项目，分别来自于 IBM、Google、Amazon 以及 OpenStack，几个方案的目标是一致的：为容器提供更强的隔离。IBM Nabla 在 Unikernel 的基础上构建容器；Google 的 gVisor 为运行的容器创建一个特定的内核；Amazon 的 Firecracker 是一个超轻量级的沙箱应用管理程序；OpenStack 将容器置入特定的为容器编排平台优化的虚拟机之中。下面对几个方案的概述，有助于读者应对即将到来的转型机会。

03

YAPI安全漏洞问题，一文全解决

YApi 是高效、易用、功能强大的 api 管理平台，旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API，YApi 还为用户提供了优秀的交互体验，开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。

01

在 macOS 上创建安装程序

在 macOS 上创建安装程序通常涉及使用 Apple 提供的 PackageMaker 工具或者创建一个 .dmg（磁盘映像文件），其中包含应用程序和安装脚本。那么如果在安装中出现下面情况可以用我的解决方案。

01

NPM酷库：vm2，安全的沙箱环境

NPM酷库，每天两分钟，了解一个流行NPM库。今天我们要了解的库是 vm2，这是一个Node.js 官方 vm 库的替代品，主要解决了安全问题。不安全的vm 在Node.js官方标准库中有一个vm库，用来在V8虚拟机环境中编译执行JS代码。通常，我们用vm库来实现一个沙箱，在代码主程序之外执行额外的JS脚本。有时，我们需要vm虚拟机来执行不受信任的代码，这些代码可能是由用户提交的，比如在脉冲云接口文档管理中，允许用户提交Mock.js脚本生成模拟接口数据。而Node.js标准库中的vm是不安全的，

05

万字解析微前端、微前端框架qiankun以及源码

本文将针对微前端框架 qiankun 的源码进行深入解析，在源码讲解之前，我们先来了解一下什么是微前端。

04

微前端学习笔记(3):前端沙箱之JavaScript的sandbox（沙盒/沙箱）

Sandbox（沙盒/沙箱）的主要目的是为了安全性，以防止恶意代码或者不受信任的脚本访问敏感资源或干扰其他应用程序的执行。通过在沙盒环境中运行，可以确保代码的行为被限制在一个安全的范围内，防止其超出预期权限进行操作。

01

Java动态脚本

诸如此类的需求若采用硬编码实现，则迭代成本相当高，每次改动都需要进行开发、测试、部署。同时业务规则的频繁变更会导致代码的开发和维护成本大大提高。

08

你会不会模拟超过 5 万用户的并发访问？

开始之前，请确定从JMeter的Apache社区jmeter.apache.org 获得了最新的版本.

03

如何模拟超过 5 万的并发用户

开始之前，请确定从JMeter的Apache社区jmeter.apache.org 获得了最新的版本.

02

Jmeter系列（50）- 详解 If 控制器

简单介绍可以通过条件来控制是否运行其下面的测试元件（子元素） If 控制器 If 控制器界面介绍 Expression (must evaluate to true or false) ：表达式（值

01

敢不敢模拟超过 5 万的并发用户?

开始之前，请确定从 JMeter 的 Apache 社区 jmeter.apache.org 获得了最新的版本。

02

如何模拟超过 5 万用户的并发访问？

开始之前，请确定从JMeter的Apache社区jmeter.apache.org 获得了最新的版本.

01

新型PPT钓鱼攻击分析（含gootkit木马详细分析）

1 概述最近出现了一种新型的PPT钓鱼攻击方式，该种钓鱼攻击方式不需要宏就能实现执行powershell的功能，通过网络下载gootkit木马进行控制。 2 分析样本 MD5：3bff3e4fec2b6030c89e792c05f049fc 在拿到样本我们放到虚拟机中进行执行，可以看到以下，但是这并不会触发攻击当我们用F5放映这个文档后，并把鼠标放到 Loading…Please wait 这个上面，就可以看到如下的画面，提示我们要启动一个外部程序这个时候我们在点击启动之后，会看见一个powersh

04

一文彻底搞懂前端沙箱

在一些应用中，我们希望给用户提供插入自定义逻辑的能力，比如 Microsoft 的 Office 中的 VBA，比如一些游戏中的 lua 脚本，FireFox 的「油猴脚本」，能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情，扩展了能力，满足用户的个性化需求。

02

[Azure DevOps] 使用 Inno Setup 制作桌面软件安装包

桌面应用程序的 CI/CD 过程和网站有一些不同，毕竟桌面应用程序的“部署”只是将安装包分发到目标位置，连应用商店都不用上，根据公司的管理流程可以很复杂，也可以很简单。在简单的情况下，Azure Pipelines 中一个桌面应用（WPF）的 CI/CD 过程如下：

01

使用腾讯云自动化助手批量安装beats

考虑到现在大家可能还不是很习惯使用Elastic Agent，所以本篇博文的主题是如何批量安装beats。

02

【JMeter-4】JMeter元件详解之逻辑控制器

文章内容是参照Jmeter官网和自己实践完成的，JMeter官网地址贴上，有兴趣的朋友可以去阅读一下：JMeter官网

02

病毒分析快速入门（二）--实战QuasarRAT

样本可从app.any.run获取，使用邮箱免费注册后，便可以下载该沙箱的公开样本

04

Figma: 如何在 Web 上构建一个插件系统

原文：https://www.figma.com/blog/how-we-built-the-figma-plugin-system/

03

再谈沙箱：前端所涉及的沙箱细讲

沙箱或称沙盒，即sandbox，顾名思义，就是让程序跑在一个隔离的环境下，不对外界的其他程序造成影响，外界无法修改该环境内任何信息，沙箱内的东西单独属于一个世界，通过创建类似沙盒的独立作业环境，在其内部运行的程序并不能对硬盘产生永久性的影响。举个简单的栗子，其实我们的浏览器，Chrome 中的每一个标签页都是一个沙箱（sandbox）。渲染进程被沙箱（Sandbox）隔离，网页 web 代码内容必须通过 IPC 通道才能与浏览器内核进程通信，通信过程会进行安全的检查。沙箱设计的目的是为了让不可信的代码运行在一定的环境中，从而限制这些代码访问隔离区之外的资源。

01

自定义工作流设计

工作偶尔会遇到需要审批相关的系统，对于流程步骤相对固定的，一般会采取某些第三方的工作流来做对应的系统。目前唯一用过的就是activiti工作流。对它进行了简单的研究学习。参考以前入门的文章，发现它大概会生成二十多表，但是很多表基本没有使用。由于对于其源码没有进入深层次的研究，所以一旦遇到流程错乱就容易找不到问题。基于此，尝试写一个简单的关于自定义流程的设计，多一个备选方案。

01

被低估的 Deno

这个周末，我一直在把玩 deno 的 rusty_v8 以及 deno_core（录了几个 rusty_v8 的视频，预计四月第二周发）。rusty_v8 是 google v8 engine 的 Rust 零成本封装，而 deno_core 在 rusty_v8 的基础上进一步封装了一些额外的功能。众所周知，v8 是 chrome 内部的 javascript 执行引擎，它优异的 JIT 能力，以及高效的垃圾回收，使得 chrome 成为最快最成功的浏览器。v8 仅仅被用在浏览器中有些暴殄天物，于是十多年前（2009），Ryan Dahl 把 v8 引入了服务端，创建了 node.js —— node 以简单容易上手的编程模型（单线程，异步处理）和大量的前端拥趸一举成为广受欢迎的服务端开发工具；而 3 年前，Ryan Dahl 自我革命，重新用 v8 从零打造 deno，意欲让 deno 成为下一代服务器开发的王者。

03

关于浏览器安全,你需要知道的那些知识点!

HTTP首部用来规定封装的包应该转往何处，接收方应该如何处理此包。首部内容决定了接受方如何处理被发送的内容，有些首部字段是必需的，有些首部字段是可选的，而有些首部字段是为了提供额外信息而用的

02

攻防演练|RASP让WebShell攻击破防了

WebShell 是一种通过浏览器来进行交互的Shell，而且是黑客通常使用的一种恶意脚本，通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络，然后安装 WebShell ，攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒，危害极大。而且， WebShell 隐蔽性极强，传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。

03

谈谈微前端领域的js沙箱实现机制

| 导语在过去，浏览器沙箱（sandbox）主要应用在前端安全领域，随着应用架构复杂，微前端方案的出现，js运行环境沙箱在浏览器中的需求越来越多。特别是近几年比较火的微前端领域，js沙箱是其比较核心一个技术点，是整个微前端方案的实现的关键点之一。微前端对于沙箱的诉求沙箱在微前端架构中不是必须要做的事情，因为如果规范做的足够好，是能够避免掉一些变量冲突读写，CSS 样式冲突的情况。但是如果你在一个足够大的体系中，仅仅通过规范来保证应用的可靠性面临较大的风险，还是需要技术手段去治理运行时的一些冲突问题

07

浏览器安全机制

而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭