Mám aplikáciu, ktorá používa a používa Angularjsdatabázy ako elastické vyhľadávanie. Pre Elastic Search je verzia 1.3.1, takže dynamické skriptovanie je v predvolenom nastavení povolené. Užívateľ môže pridávať údaje do pružného vyhľadávania z aplikácie. Takže pri hľadaní toho, ako sa vyhnúť injekciám, je injekciou skriptu dopyt po pružnom vyhľadávaní?
odpovede:
2 pre odpoveď č. 1- Závisí to od toho, ako je postavený json, ak je niečo podobné
"{query: {match:"%s"}}"
potom je možné prejsť reťazec a pridať do skriptu ďalší text. - Skontrolujte, či je príspevok pre elasticsearch otvorený pre všetkých - mali by ste ho zavrieť
- Mali by ste používať
groovy
skriptovanie a limitované knižnice, ktoré sa majú použiť.