答案很简单:Log4JS和Log4J只是名称和API相似,代码库完全不同(并且使用不同的编程语言)。Log4J的漏洞显然不适用于Log4JS。这种漏洞甚至在JavaScript中也无法轻易实现。Java的漏洞基于JNDI查找,通常用于检索简单的配置数据。但是它们也允许检索序列化的Java对象和新类(参见Oracle的文档)。这种漏洞的JavaScript等效物将是一个格式化程序,它替换:log.info('${jndi:some JS code}'); 使用 log.info(eval(some JS code));