就是java特有的，

JNDI，log4j的解析变量，这二者同时起作用，少一个都不会出问题。

asp.net、js都可能会加载远程服务器上的code，不过默认都有限制，打开限制的人对此负责。
不知道java这个加载remote byte code是怎么默认就能绕过限制的，没细究。

【 在 nikezhang 的大作中提到: 】
: 和java无关，是log4j自作聪明了，logback就没有这问题  
--
FROM 114.245.195.*