如何在弹性搜索的搜索查询中避免脚本注入?

时间:2014-08-28 08:36:03

标签: angularjs elasticsearch code-injection

我有一个使用Angularjs的应用程序,并将数据库作为弹性搜索。对于Elastic Search,版本为1.3.1,因此默认情况下启用动态脚本。用户可以从应用程序向弹性搜索添加数据。那么在搜索如何避免弹性搜索查询中的脚本注入的注入时呢?

1 个答案:

答案 0 :(得分:2)

  1. 取决于如何构建json,如果它类似于"{query: {match:"%s"}}",则可以传递字符串以向脚本添加更多文本。
  2. 检查,如果弹性搜索帖对所有人开放 - 你应该关闭它
  3. 您应该使用groovy沙盒脚本和限制库来使用。
相关问题
最新问题