首页
App
&
Coffee
文档
项目
分享
反馈
俱乐部
登录
注册
jfinal存在安全问题,希望能解决一下
myth4ian
2023-07-06 11:46
相关链接
Arbitrary Code Execution in com.jfinal:jfinal | CVE-2021-31635 | Snyk
项目:
JFinal
评论区
杜福忠
2023-07-06 18:09
Enjoy 模板引擎专为 java 开发者打造,所以坚持两个核心设计理念:一是在模板中可以直接与 java 代码通畅地交互,二是尽可能沿用 java 语法规则,将学习成本降到极致。
因此,立即掌握 90% 的用法,只需要记住一句话:Enjoy 模板引擎表达式与 Java 是直接打通的。
这不是JF特色功能么? 只要不开放给前端无权限的自由填写就没问题了。
而且JF 5.0.2版本后,静态方法调用也改了:
Enjoy 模板引擎的静态方法调用与静态属性访问表达式默认值改为了 "不开启",如果用到这两类表达式,需要通过如下配置开启:
// 以下配置支持静态方法调用表达式:com.jfinal.kit.StrKit::isBlank('abc')
engine.setStaticMethodExpression(true);
// 以下配置支持静态属性访问表达式:com.jfinal.core.Constant::JFINAL_VERSION
engine.setStaticFieldExpression(true);
回复
发送
我要反馈
赞助商
禅道 - 专业的项目管理软件
热门反馈
JFinal 社区 feedback 反馈栏目
jfinal模块化开发的best practice是怎么样的
eclipse有没有一个类似idea的黑色主题
BaseModel中定义的变量会在不同线程中冲突吗?
jfinal配置错误页面
Render类的render方法为什么会被自动执行?
jfinal做微服务和分布式架构,能否给点好的案例,或者好的方案,现在技术选型上面想做考究。
jfinal_club后台登录地址是什么?
jfinal官网怎么没有搜索功能?
renderJson方法返回页面时,long型数值别截取
扫码入社
因此,立即掌握 90% 的用法,只需要记住一句话:Enjoy 模板引擎表达式与 Java 是直接打通的。
这不是JF特色功能么? 只要不开放给前端无权限的自由填写就没问题了。
而且JF 5.0.2版本后,静态方法调用也改了:
Enjoy 模板引擎的静态方法调用与静态属性访问表达式默认值改为了 "不开启",如果用到这两类表达式,需要通过如下配置开启:
// 以下配置支持静态方法调用表达式:com.jfinal.kit.StrKit::isBlank('abc')
engine.setStaticMethodExpression(true);
// 以下配置支持静态属性访问表达式:com.jfinal.core.Constant::JFINAL_VERSION
engine.setStaticFieldExpression(true);