Spring 突然遭遇危机,是否已陷入困境?
- 内容介绍
- 文章标签
- 相关推荐
本文共计762个文字,预计阅读时间需要4分钟。
家里好,我是栈长。最近技术栈真是醉了,Log4j2 的核心级漏洞刚爆出,这个月初 Spring Cloud Gateway 又突发高危漏洞,现在连最关键的 Spring 框架也出现了隐患。
大家好,我是栈长。
最近技术栈真是醉了,Log4j2 的核弹级漏洞刚告一段落,这个月初 Spring Cloud Gateway 又突发高危漏洞,现在连最要命的 Spring 框架也沦陷了。。。
栈长今天看到了一些安全机构发布的相关漏洞通告,Spring 官方博客也发布了漏洞声明:
漏洞描述:
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
SpEL 全称:Spring Expression Language,即:Spring 表达式语言。
这玩意平时使用不多,但在关键时候却很有用,比如我们在 Bean 注入动态取参数的时候经常会遇到:
<bean id="user" class="cn.javastack.User">
<property name="country" value="#{systemProperties['user.country'] }"/>
...
</bean>
或者基于注解的:
@Component
public class User
@Value("#{systemProperties['user.country']}")
private String country;
...
}
当然,SpEL 的功能强大不止于此。
本文共计762个文字,预计阅读时间需要4分钟。
家里好,我是栈长。最近技术栈真是醉了,Log4j2 的核心级漏洞刚爆出,这个月初 Spring Cloud Gateway 又突发高危漏洞,现在连最关键的 Spring 框架也出现了隐患。
大家好,我是栈长。
最近技术栈真是醉了,Log4j2 的核弹级漏洞刚告一段落,这个月初 Spring Cloud Gateway 又突发高危漏洞,现在连最要命的 Spring 框架也沦陷了。。。
栈长今天看到了一些安全机构发布的相关漏洞通告,Spring 官方博客也发布了漏洞声明:
漏洞描述:
用户可以通过制作特制的 SpEl 表达式引发 DoS(拒绝服务)漏洞。
SpEL 全称:Spring Expression Language,即:Spring 表达式语言。
这玩意平时使用不多,但在关键时候却很有用,比如我们在 Bean 注入动态取参数的时候经常会遇到:
<bean id="user" class="cn.javastack.User">
<property name="country" value="#{systemProperties['user.country'] }"/>
...
</bean>
或者基于注解的:
@Component
public class User
@Value("#{systemProperties['user.country']}")
private String country;
...
}
当然,SpEL 的功能强大不止于此。