SPelInjection

前言:在Spring中存在缺陷的RCE的断裂都是因SpEL表达注入产生

 

SpEL

Spring表达式语言全称为Spring Expression Language,是Spring框架创建的一种表达式语言,它支持在运行时查询和操纵对象图表。这里要注意的是SpEL通过API接口的形式创建的,允许将其集成到其他应用程序和框架中。

SpEL使用实例

在Spring Framework中SpEL的使用是比较常见的。一个很好的例子是spring security,其中使用SpEL表达分配权限:使用Spring Security 入门原理及实战

​
spring annotions  安全表达式   SpEL expression
      |               |            |
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(C

你可能感兴趣的:(java代码审计)