如果服务器上的 Java 评估 Javascript，则会出现安全问题

Question

如果我在服务器（使用Rhino Javascript Engine的Java webapp）上评估从浏览器提交的Javascript代码，是否会带来安全风险？

Javascript 的评估只是为了知道它是否是有效的 Javascript。

我不希望评估能给我带来任何回报。我不希望它存储任何东西，或接触任何东西。它应该做的就是告诉我用户提交了有效的 javascript。

如果它会带来安全问题，我可以采取一些措施来确保 JavaScript 不会对系统造成任何损害吗？

Answer 1

是的，它会带来安全风险，因为从 Rhino 内部的 JavaScript 可以访问 Java 运行时中的任何内容，包括（例如）所有 java.io 类。

您可以确保对 Rhino 的所有调用都在 SecurityManager 的管辖下进行，该 SecurityManager 基本上限制了所有内容。对于 JDK 的 ScriptEngine 代码，没有内置方法可以做到这一点；我不知道 Rhino 可以使用哪些工具与 Mozilla hooks 一起使用。