Nashorn指南

最新推荐文章于 2024-05-26 10:04:21 发布
最新推荐文章于 2024-05-26 10:04:21 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: Java 文章标签: ScriptEngine Nashorn 安全
本文为博主原创文章,请尊重劳动成果,转载注明一下出处。
本文链接:https://blog.csdn.net/zq1994520/article/details/113947649
版权

Nashorn介绍:

是由Oracle用Java编程语言开发的JavaScript引擎。它基于Da Vinci Machine(JSR 292),并随Java 8一起发布。它的前身是 基于Mozilla Foundation发布的Rhino开源修改的发布在jdk6上的Rhino。通过它可以轻松的访问java的资源。

相关资料:

Nashorn(wiki)
Rhino(wiki)

如何使用:

ScriptEngineManager manager = new ScriptEngineManager();
ScriptEngine engine = manager..getEngineByName("nashorn");
ScriptContext scriptContext = engine.getContext();
Bindings bindings = engine.createBindings();
scriptContext.setBindings(bindings, ScriptContext.GLOBAL_SCOPE);
Map<String, Object> contextMap = new HashMap<>(1);
contextMap.put("data", data);
bindings.put("Context", contextMap);
Object result = engine.eval("java.lang.Runtime.getRuntime().exec('calc');1", getScriptContext(engine, originData));
System.out.println(result);

ScriptEngine 的高级使用:
Java 脚本语言
介绍 Nashorn —— Java 8 JavaScript 引擎

安全问题:

nashorn实现可以允许脚本直接调用java库函数。如果需要屏蔽特定的类需要使用如下:

NashornScriptEngineFactory factory = new NashornScriptEngineFactory();
ScriptEngine engine = factory.getScriptEngine(scriptClassFilter);
ScriptContext scriptContext = engine.getContext();
Bindings bindings = engine.createBindings();
scriptContext.setBindings(bindings, ScriptContext.GLOBAL_SCOPE);
Map<String, Object> contextMap = new HashMap<>(1);
contextMap.put("data", data);
bindings.put("Context", contextMap);
Object result = engine.eval("java.lang.Runtime.getRuntime().exec('calc');1", getScriptContext(engine, originData));
System.out.println(result);

public class ScriptClassFilter implements ClassFilter {


    private final List<String> securityClasses = Arrays.asList("java.lang.String", "java.lang.StringBuffer", "java.lang.StringBuilder", "java.lang.Long", "java.lang.Double");

    private final List<String> securityPackages = Arrays.asList("java.util","java.time","java.math");

    private final List<String> dangerousClasses = Arrays.asList("java.io.File", "java.io.RandomAccessFile", "java.io.FileInputStream", "java.io.FileOutputStream",
            "java.lang.Class", "java.lang.ClassLoader", "java.lang.Runtime", "java.lang.System",
            "java.lang.Thread", "java.lang.ThreadGroup", "java.lang.ProcessBuilder");

    private final List<String> dangerousPackages = Arrays.asList("java.io","java.net","java.security", "java.text.spi", "java.util.zip", "java.util.logging", "java.util.spi", "java.util.jar", "java.lang.reflect");

    @Override
    public boolean exposeToScripts(String s) {
        if(securityClasses.stream().anyMatch((s1) -> StringUtils.equals(s, s1)) ){
            return true;
        }
        if(dangerousClasses.stream().anyMatch((s1) -> StringUtils.equals(s, s1))){
            return false;
        }
        return securityPackages.stream().anyMatch(s::startsWith)
                && dangerousPackages.stream().noneMatch(s::startsWith);
    }
}

jdk15之后使用方法:

<dependency>
  <groupId>org.openjdk.nashorn</groupId>
  <artifactId>nashorn-core</artifactId>
  <version>15.0</version>
</dependency>
相关资料:

https://stackoverflow.com/questions/65265629/how-to-use-nashorn-in-java-15-and-later

正在飞翔的猫
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探秘Java Nashorn引擎:一个轻量级的JavaScript运行时环境
gitblog_00034的博客
04-27 1063
探秘Java Nashorn引擎:一个轻量级的JavaScript运行时环境 项目地址:https://gitcode.com/openjdk/nashorn 项目简介 Nashorn是Oracle开放源代码的一个项目,它是Java 8及以后版本中的一个内置组件,提供了对JavaScript语言的支持。Nashorn引擎使得开发者能够在Java应用中直接执行JavaScript代码,或者将Java...
用于JVM的Nashorn JavaScript引擎可能会被删除
cxu0262的博客
05-14 652
Nashorn是Java虚拟机JavaScript引擎,由于较新的技术已被淘汰,因此可以弃用。 Nashorn于2014年在Java Development Kit(JDK)8中首次亮相。它提高了Java和JavaScript之间的兼容性,同时提供了性能优势。 但是,根据OpenJDK Java社区提出的正式弃用提议,ECMAScript语言结构和API的快速变化使其“挑战”了Nashor...
Nashorn Sandbox: 安全的JavaScript执行环境
最新发布
gitblog_00064的博客
05-26 458
Nashorn Sandbox: 安全的JavaScript执行环境 项目地址:https://gitcode.com/javadelight/delight-nashorn-sandbox 在Java应用中安全地运行JavaScript代码,是开发过程中的一项重要挑战。Nashorn Sandbox 是为此目的而设计的一个强大的开源解决方案,它利用了Nashorn引擎的安全特性。 项目介绍 Na...
Java 8 新特性 - Nashorn引擎:jjs
wang_luwei的博客
06-15 519
Java 8 新特性 - Nashorn引擎:jjs
Java8指南
蚁人的博客
01-09 532
翻译自国外大神博客,地址:java-8-tutorial,大神的博客里面有很多关于Java8讲解的文章,看了之后受益匪浅,写的非常好。 “Java is still not dead—and people are starting to figure that out.” 欢迎来到 Java 8指南. 这篇教程会一步步指导你深入Java8的新特点,在简短的代码示例的支持下,您将学习到如
Java 8 新特性 - Nashorn JavaScript引擎
wang_luwei的博客
06-15 586
Java 8 新特性 - Nashorn JavaScript引擎
Java 8新特性终极指南
GarfieldEr007的专栏
05-21 691
在Java Code Geeks上已经有大量的关于Java 8 的教程了,像玩转Java 8——lambda与并发,Java 8 Date Time API 教程: LocalDateTime和在Java 8中抽象类与接口的比较。我们也在其他地方引用了15个必读的Java 8教程。当然,我们也探究了Java 8的一些不足之处,比如Java 8的“黑暗面”。现在,是时候把所有Java 8的重要特性收...
console.log 优雅指南
a76326791212的博客
10-14 417
所有做过前端项目的同学都有在浏览器控制台打印消息的经历,相信你们中的大部分都和我一样,习惯用 console.log 调试代码,所谓一招鲜吃遍天。 《鬼灭之刃》中,我妻善逸只会雷之呼吸一之型,把一之型练到了极致中的极致,练成了只属于我妻的独特雷之呼吸。但是调试代码可不一样,console.log 再怎么极致,也就打印的漂亮点罢了。 因此,还是把 console API 的所有型都学会,才能事半功倍,获得快速便捷的调试体验。 基本型 console.log() | info() | debug() | war
Javaagent使用指南
YouYouKeLe的专栏
06-30 841
Javaagent,一开始我对它的概念也比较陌生,后来在别人口中听到 字节码插桩,bTrace,Arthas后面才逐渐了解到Java还提供了这么个工具。 ​ javaagent 是什么? javaagent是java命令的一个参数。参数 javaagent 可以用于指定一个 jar 包,并且对该 java 包有2个要求: 这个 jar 包的 MANIFEST.MF 文件必须指定 Premain-Class 项。 Premain-Class 指定的那个类必须实现 premain() 方法。 premain
javaagent 使用指南
编码行者的博客
02-19 924
文章目录JVM 启动前静态 InstrumentJVM 启动后动态 Instrument[#](#3747963506)instrument 原理[#](#1765324936)启动时加载 instrument agent 过程:运行时加载 instrument agent 过程:Instrumentation 的局限性[#](#784633017) 今天打算写一下 Javaagent,一开始我对它的概念也比较陌生,后来在别人口中听到 字节码插桩,bTrace,Arthas后面才逐渐了解到 Java 还提供
JDK14-nashorn-users-guide.pdf
08-08
JDK 14 Nashorn 用户指南 JDK 14 Nashorn 用户指南是 Oracle 公司发布的一份关于 Nashorn JavaScript 引擎的使用指南,该引擎是 Java 平台标准版的一部分。本指南概述了 Nashorn 的基本概念、使用方法和高级特性,...
JDK13-nashorn-users-guide.pdf
08-08
Java Platform, Standard Edition Nashorn用户指南 Java Platform, Standard Edition Nashorn用户指南是Oracle公司发布的一份关于Java Nashorn引擎的用户指南,版本号为Release 13,F18357-01,发布于2019年9月。该...
JDK12-nashorn-users-guide.pdf
08-08
"JDK12 Nashorn 用户指南" JDK12 Nashorn 用户指南是 Java 平台标准版中的一个组件,提供了 JavaScript 引擎的实现。以下是该指南中的重要知识点: 一、 Nashorn 简介 Nashorn 是 Java 平台标准版中的一个 ...
JDK9-JSE-Nashorn User's Guide-32.pdf
08-08
JDK9-JSE-Nashorn 用户指南概览 本资源摘要信息是基于 JDK9-JSE-Nashorn 用户指南的概览,涵盖了 Java 平台、Standard Edition 和 Nashorn 的关键信息。 概览 JDK9-JSE-Nashorn 用户指南是 Oracle 公司发布的一份...
JDK10-JSE ,Nashorn User's Guide-32.pdf
08-08
JDK 10 Nashorn 用户指南 Java 平台标准版(Java Platform, Standard Edition)是 Java 编程语言的核心实现, Nashorn 是 Java 平台标准版中的一个 JavaScript 引擎。本指南将详细介绍 Nashorn 的使用和配置。 ...
源码解析getCanonicalName(), getName(), getSimpleName()的不同
热门推荐
正在飞翔的猫的
12-31 2万+
概要: 1、getCanonicalName() 是获取所传类从java语言规范定义的格式输出。 2、getName() 是返回实体类型名称 3、getSimpleName() 返回从源代码中返回实例的名称。 例子: public class Log4jTest { class Innr{ } private static Logge
AspectJ和lombok
正在飞翔的猫的
08-19 5529
AspectJ和Lombok工具的介绍: AspectJ:Eclipse AspectJ是Java™编程语言的无缝的面向方面的扩展。 它与Java平台兼容,易于学习和使用。 Aspectj有三个包,分别是aspectjrt.jar, aspectjtools.jar和aspectjweaver.jar。其中aspectjweaver.jar内包含aspectjrt.jar的所有内容,他可以实现类加载器加载的时候织入代码。而当需要使用ajc编译器来编译时或者编译后织入代码的时候还需要引入aspectjrt
轻量级锁、偏向锁、重量级锁详情
正在飞翔的猫的
11-17 4764
这篇文章是上篇文章是否真的理解了偏向锁、轻量级锁、重量级锁(锁膨胀)、自旋锁、锁消除、锁粗化,知道重偏向吗?的补充,对于偏向锁,网上有些对于它的原理解读过于简单,简单得似乎是错误的,最显眼的是对于Mark Word的倒数第三位的作用的含义,许多博客对于这个的作用搞成标志是否使用偏向锁,其实还有层含义是是否禁用偏向。 这篇文章提出了对于一书“深入理解Java虚拟机”中的一张图的深入是否使用偏...
Oracle JDK13 Nashorn用户指南
"JDK13-nashorn-users-guide.pdf" 是一份关于Java平台标准版(Java SE)Nashorn JavaScript引擎的用户指南,主要针对JDK13版本。该文档详细介绍了如何在Java环境中使用Nashorn JavaScript引擎,提供给开发者在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值