इस पहलू सुरक्षा/मनोदशा सुरक्षा evaluation of SpEL (google docs link) चेकआउट करें जो लेख आप लिंक करते हैं, शायद यह संदर्भ दे रहा है (स्पेल के विशिष्ट मामले के लिए)।
वे वर्णन करते हैं कि वसंत जेएसपी टैग कितने ईएल अभिव्यक्तियों का मूल्यांकन करते हैं। इन मामलों में उपयोगकर्ता के लिए एसईएलईएल के रूप में सर्वर को डेटा जमा करना संभव हो सकता है। (इनकोडिंग यूआरएल) के साथ मूल्य ${bean.val}
एक अनुरोध पैरामीटर
http://...?exp=$%7Bbean.val%7D
अंदर JSP पृष्ठों, अभिव्यक्ति ${param.exp}
पाठ ${bean.val}
को सुलझा लिया जाएगा के रूप में जो अपने आप में सुरक्षित है। हालांकि, यह अभिव्यक्ति एक वसंत जेएसटीएल टैग की विशेषता के भीतर रहता है, जो हल किए गए मान का फिर से मूल्यांकन किया जा सकता है उदा। spring:message
टैग में:
<spring:message message="${param.exp}" />
मूल्य ${bean.val}
spring:message
टैग जो bean.getVal()
विधि का मूल्यांकन करेंगे करने के लिए के माध्यम से पारित किया जा रहा में परिणाम होगा। इसलिए अब हमारे पास क्लाइंट द्वारा सबमिट कोड और सर्वर पर चल रहा है।
कृपया बहुत अधिक देखने नीचे दिया गया जवाब, जो वास्तविक – blackdrag
@blackdrag धन्यवाद है, मैंने इसे पहले ही पढ़ लिया है। इस पोस्ट और पीटर दोनों मूल प्रश्न के दो अलग-अलग उत्तर प्रदान करते हैं "क्या कोई इस पर अधिक प्रकाश डाल सकता है, कृपया?"। यह उत्तर (लगभग एक वर्ष पुराना) आशा करता है कि कमजोरता वास्तव में क्या थी, जबकि पीटर का जवाब स्प्रिंग स्रोतों के इतिहास से निपटने में और वसंत के संस्करणों का वर्णन करता है जिसमें इस मुद्दे को हल किया गया है। आईएमओ वे दोनों अलग-अलग तरीकों से "प्रकाश डाला" और दोनों "वास्तविक" उत्तर हैं। – krock
मैं मानता हूं, वे दोनों इस मुद्दे पर प्रकाश डालते हैं।केवल यह 2012 से पहले तय किया गया है। सबसे मूल्यवान जानकारी, कि रिपोर्ट से पहले ही रिपोर्ट पुरानी हो चुकी थी, गायब है। यही कारण है कि मैं जवाब को "वास्तविक" के रूप में नहीं मानता। – blackdrag