/ / Ako sa vyhnúť vloženiu skriptu do vyhľadávacieho dotazu elastického vyhľadávania? - angularjs, elasticsearch, code-injection

Ako sa vyhnúť injekcii skriptov vo vyhľadávacom dotaze na elastické vyhľadávanie? - uhlovité, elastické, vstrekovanie

Mám aplikáciu, ktorá používa a používa Angularjsdatabázy ako elastické vyhľadávanie. Pre Elastic Search je verzia 1.3.1, takže dynamické skriptovanie je v predvolenom nastavení povolené. Užívateľ môže pridávať údaje do pružného vyhľadávania z aplikácie. Takže pri hľadaní toho, ako sa vyhnúť injekciám, je injekciou skriptu dopyt po pružnom vyhľadávaní?

odpovede:

2 pre odpoveď č. 1
  1. Závisí to od toho, ako je postavený json, ak je niečo podobné "{query: {match:"%s"}}" potom je možné prejsť reťazec a pridať do skriptu ďalší text.
  2. Skontrolujte, či je príspevok pre elasticsearch otvorený pre všetkých - mali by ste ho zavrieť
  3. Mali by ste používať groovy skriptovanie a limitované knižnice, ktoré sa majú použiť.

Súvisiace otázky

Ktoré je lepšie použiť pre pružné hľadanie na elastické hľadanie pružiny-hľadanie alebo jar-dáta-elasticsearch.? - pružinové topánky, elastické pásiky, pružinové dáta, pružinové dáta a elastický pás
ako upraviť relevanciu v elasticsearch - php, elasticsearch, foselasticabundle
MongoDB, elasticsearch URL indexing - node.js, mongodb, elasticsearch
Ako načítať dáta zo schránky S3 do elastického hľadania v Nodejs Lambda - node.js, elasticsearch, amazon-s3, aws-lambda
elasticsearch kompresia a výkon pre front - mongodb, elasticsearch, splunk, fluentd, kibana
Mongodb vs elastické hľadanie pre non-fulltextové vyhľadávanie - mongodb, vyhľadávanie, elasticsearch
Vyhľadajte jeden prvok v množine slovníkov v elasticsearch - lucene, elasticsearch
Ako nastaviť Threading Mode v elastickom vyhľadávaní JAVA API? - java, elasticsearch
Použiť filtre po vyhľadávaní pomocou elastického vyhľadávania - java, filter, elasticsearch
Prístup k elastickému vyhľadávaniu mimo localhost - elasticsearch
Ako indexovať priečinok epub, pdf dokumenty s elasticsearch - elasticsearch
Podmienený dotaz v elastickom vyhľadávaní - elasticsearch
Vyberte rad v elastickom vyhľadávaní - elastický prehľad, elastické mapovanie
Kde je skenovaná kópia uložená a maximálne, koľko času môže byť nažive, ak urobím Elastické vyhľadávanie pomocou posúvacieho a skenovacieho - elasticsearch, hniezdo
Vyhľadávanie v každom poli s pevným parametrom - elastický prehľad
Vyhľadávanie na viacerých poliach Elasticsearch - elasticsearch
ako zistiť všeobecnú rýchlosť odozvy pružného hľadania - elastický prehľad
ako vykonať operáciu po úspešnom začatí elastického hľadania - bash, shell, elasticsearch
Injekcia SQL v dotazoch uložených procedúr - asp.net, sql, tsql, xss, sql-injection
Ako vyhľadávať predponu údajov z poľa v Elasticsearch? - polia, elastický pohľad, predpona