Stimulsoft 报表脚本执行模式风险与防护建议

Stimulsoft 是一款专业的商业智能报表与数据可视化工具套件，广泛应用于企业级系统中，用于快速构建交互式报表、仪表盘和数据分析界面。其产品支持 .NET、JavaScript、PHP、Java 等多种开发平台，帮助开发者以可视化方式展现复杂数据，实现灵活的企业信息展示与决策支持。
近日，Stimulsoft 官方再次提醒开发者注意在报表加载与脚本执行过程中可能存在的安全风险，特别是在使用 “Compilation（编译）计算模式” 时。
Stimulsoft Ultimate 官方试用版下载
⚠️ 潜在风险说明

当报表的计算模式被设置为 Compilation（编译）模式 时，在 Web Viewer 中打开报表时可能会执行嵌入代码。这些代码可能在服务器端被编译并运行，从而存在远程执行不安全代码（RCE）的风险。
需要特别说明的是：

Stimulsoft 本身并不存在可被直接利用的内置漏洞。
安全风险仅在特定项目配置下出现，例如：

• 报表计算模式设为 Compilation；
  
• 应用允许用户上传未经过验证的自定义报表文件。
  

✅ 官方安全建议

为了最大程度降低风险，Stimulsoft 官方建议开发者采取以下防护措施：
1. 禁用 Compilation 模式

仅在必要且受信任的环境下使用 Compilation 模式。
在大多数情况下，推荐启用 Interpretation（解释）模式，该模式不进行即时编译，从根本上消除了远程代码执行风险。
可通过以下方式设置：

1. report.CalculationMode = StiCalculationMode.Interpretation;

复制代码

或通过全局 Viewer 参数禁用加载带 Compilation 模式的报表：

1. StiOptions.Viewer.AllowOpenDocumentWithCompilation = false;

复制代码

2. 使用解释模式脚本

在 Stimulsoft Reports 2025.3 版本中，.NET 平台已支持在 Interpretation 模式下执行 C# 脚本。
开发者可在脚本中安全使用变量、数据列、自定义函数及基本控制语句（if、else、循环等），满足大多数业务逻辑需求，同时确保系统安全。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！