由于項目需要頻繁增加小型服務，且不希望更新整個web服務。在和熱更新機制以及腳本引擎的對比選擇中，我們使用了ScriptEngineManager在java中運行js腳本。目前的調用機制是web頁面發起帶有腳本名和方法名的參數請求項目。項目中根據腳本名找到相應的腳本并執行傳入的函數名,這里用的是ScriptEngineManager.invokeFunction。現在想請大家來討論一下這種方式會不會存在被腳本注入的風險！感恩...補充一點如下：由于業務的關系，不存在腳本和方法的調用權限問題，意思是在腳本外層已經做好了用戶和腳本所對應的權限分配。這里的注入是指純粹的代碼注入，如提交js代碼之類的參數。請各位前輩幫小弟討論分析一下！