Spring学习笔记----SpEL表达式

最新推荐文章于 2022-01-19 18:54:38 发布
最新推荐文章于 2022-01-19 18:54:38 发布
阅读量189 收藏
点赞数
分类专栏: spring 文章标签: spring
原文地址:http://blog.csdn.net/a1610770854/article/details/51908390
默兮Hou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring总结——SpEL表达式
weixin_44157233的博客
03-02 9932
文章目录SpEL表达式SpEL表达式概述1、什么是SpEL表达式2、SpEL表达式的作用SpEL的使用方式1、xml配置的方式2、注解的方式SpEL表达式的调用 SpEL表达式 SpEL表达式概述 1、什么是SpEL表达式 SpEL:(spring expression language) 是一种表达式语言,是一种强大,简洁的装配Bean的方式。 他可以通过运行期间执行的表达式将值装配到我们的...
Acegi学习笔记--Acegi详解实战Acegi实例
03-17
3. **支持表达式**:Spring Security引入了基于SpEL的安全表达式,提供了更灵活的访问控制。 4. **模块化**:Spring Security分为多个模块,如Web安全、方法安全等,更易于定制和扩展。 通过学习Acegi,我们可以...
SpEL表达式
测试
04-30 707
简介 Spring表达式语言,简称SpEL,是一个支持运行时查询和操作对象图的强大表达式语言。 语法:使用#{…}作为定界符,为bean的属性进行动态赋值。 代码示例<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/bean...
spel表达式
qq_31599241的博客
06-19 720
spel表达式
Spel表达式
I want to know a little more.
07-08 811
8.Spring 表达式语言 (SpEL) 8.1介绍 Spring表达式语言(简称SpEl)是一个支持查询和操作运行时对象导航图功能的强大的表达式语言. 它的语法类似于传统EL,但提供额外的功能,最出色的就是函数调用和简单字符串的模板函数。 尽管有其他可选的 Java 表达式语言,如 OGNL, MVEL,JBoss EL 等等,但 Spel 创建的初衷是了给 Spring 社区提供一种简单而高效的表达式语言,一种可贯穿整个 Spring 产品组的语言。这种语言的特性应基于 Spring 产品的..
Spring2.5_学习笔记.doc.zip
06-02
总的来说,《Spring2.5 学习笔记》这份文档将带领读者深入了解Spring2.5的各种核心特性,包括注解驱动的配置、依赖注入的优化、面向切面编程的实现、数据库访问的便捷性、Web MVC的改进以及SpEL的运用。通过对这些...
spring-framework:spring-framework原始阅读笔记-spring源码阅读
03-24
例如,我们可以使用SpEL表达式在运行时决定bean的属性值。此外,PropertyPlaceholderConfigurer和Environment抽象类是处理属性文件和环境变量的重要组件,它们帮助我们读取和替换配置文件中的占位符,使得配置更加...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring学习笔记(8)----属性注入的方式
05-26
本篇学习笔记主要探讨了Spring中的属性注入方式,包括了传统的XML配置注入、注解式注入以及使用Java配置类的方式。 一、XML配置注入 在Spring早期版本中,XML配置文件是定义Bean及其依赖关系的主要方式。属性注入...
spring3.x的读书笔记-1
02-25
2. 引入了 Spring Expression Language (SpEL),一个强大的表达式语言,用于运行时查询和操作对象。 3. Spring JavaConfig 提供了通过 Java 类进行配置的选项,替代传统的 XML 配置。 4. OXM 功能的加入,用于对象和...
spring学习笔记
05-02
目录 1.1 Spring 框架学习路线:...........................................................................................................................4 1.2 Spring 框架的概述:...........................
spring学习笔记 私塾在线
10-14
Spring学习笔记 私塾在线】是一份综合性的学习资源,包含了从网上收集的各种Spring相关的教程和实战指导。这份笔记的目的是为学习者提供一个全面的Spring框架学习平台,通过集成多个主题,帮助用户深入理解和掌握...
spring学习笔记
10-12
以上内容涵盖了Spring框架的关键知识点,从IoC和DI的使用,到AOP和资源管理,再到强大的SpEL表达式语言,这些都是理解和掌握Spring框架所必备的基础。通过深入学习这些内容,不仅有助于日常开发,也能为面试做好充分...
spring学习笔记(四)
05-24
在本篇"Spring学习笔记(四)"中,我们将深入探讨Spring框架的核心特性和使用方法,尤其是围绕源码解析和工具应用这两个主题。Spring是Java领域中最广泛应用的轻量级框架,它提供了丰富的功能来简化企业级应用的开发,...
spel表达式(Spring Expression Language)即Spring表达式语言
ZBZBZB12138的博客
01-19 1306
SpEL(Spring Expression Language),即Spring表达式语言。它是一种类似JSPEL表达式、但又比后者更为强大有用的表达式语言。 为什么要用SpEL:因为它可以在spring容器内实时查询和操作数据,尤其是操作List列表型、Array数组型数据。 我的理解是,SpEL可以在数据集合里获取固定的字段数据 一. 用法 常规SpEL有三种用法: 在注解@Value中使用 在XML配置中使用 在代码中创建Expression对象,利用Expression对象来执行Sp
SpEl表达式
混合动力火锅的博客
07-21 424
格式:#{...}    类似于EL表达式 可以引用其他bean,bean的属性,类的静态成员,支持运算符等等 在引用类的静态成员时格式:#{T(类).静态成员},在写字符串时格式:#{'字符串'} 例: public class Car { private String name; private int price; private double tyreLong;
SpringBoot SpEL表达式注入漏洞-分析与复现
最新发布
06-02
SpringBoot SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码,从而导致应用被攻击。下面我将对该漏洞进行分析与复现。 一、漏洞分析 SpringBoot中的SpEL(Spring Expression Language)是一种基于表达式的语言,用于在运行时动态地计算值或执行逻辑。SpEL表达式可以用于访问对象的属性、调用对象的方法、进行条件判断等操作。在SpringBoot中,SpEL表达式可以用于注解中的属性值、配置文件中的属性值等场景。 在SpEL表达式中,可以使用一些特殊的语法来引用Bean对象或调用Bean对象的方法。例如,可以使用`#{beanName.methodName()}`的语法来调用Bean对象的方法。如果在SpEL表达式中使用了未经过滤的用户输入,就会存在SpEL表达式注入漏洞。 攻击者可以通过构造恶意的SpEL表达式,将其注入到应用中,从而执行恶意代码。例如,可以将`#{T(java.lang.Runtime).getRuntime().exec('calc')}`注入到应用中,从而在受害者机器上执行计算器程序。 二、漏洞复现 下面我将通过一个简单的漏洞复现来说明SpEL表达式注入漏洞的危害性。 1. 创建一个SpringBoot应用 首先,我们需要创建一个SpringBoot应用。可以使用Spring Initializr来快速创建一个基本的SpringBoot应用。 2. 添加注解 在创建好的SpringBoot应用中,我们可以添加一个Controller类,并在其中添加一个RequestMapping注解。在RequestMapping注解中,我们可以使用SpEL表达式来引用Bean对象或调用Bean对象的方法。 ```java @RestController public class MyController { @RequestMapping("/test") public String test() { return "hello world"; } @RequestMapping(value = "/{name}", method = RequestMethod.GET) public String sayHello(@PathVariable("name") String name) { return "Hello " + name + "!"; } @RequestMapping(value = "/spel", method = RequestMethod.GET) public String spel() { String expression = "#{T(java.lang.Runtime).getRuntime().exec('calc')}"; ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression(expression); return exp.getValue().toString(); } } ``` 在上述代码中,我们在/spel接口中使用了SpEL表达式来调用Runtime.getRuntime().exec方法,从而执行计算器程序。 3. 启动应用 启动应用后,访问/spel接口,可以看到计算器程序被成功执行。 4. 防范措施 为了防范SpEL表达式注入漏洞,我们可以采取以下措施: 1. 对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。 2. 尽量避免在注解或配置文件中使用SpEL表达式。 3. 对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。 4. 在应用中禁用动态表达式功能,避免SpEL表达式被执行。 5. 总结 SpEL表达式注入漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞在应用中执行恶意代码。为了防范该漏洞,我们需要对用户输入进行过滤和验证,避免未经过滤的用户输入被注入到SpEL表达式中。同时,尽量避免在注解或配置文件中使用SpEL表达式,对于必须使用SpEL表达式的场景,可以对SpEL表达式进行白名单过滤,只允许特定的SpEL表达式被执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值