我的页面上有一个表单字段,如果用户在其中输入一个简单的数学方程式,我想用解决方案替换该值。因此,如果用户在字段中键入 1 + 2
并点击 enter,我会将输入值替换为 3
。
目前我只计算匹配这个正则表达式的等式:
/^[\d. \+/\*-]+$/
也就是说,如果整个字符串由数字、空格、加号、减号、乘号或除号组成。
然后我像这样评估值:
(new Function('try {var a = ' + val + '; return a;} catch(e) {return -1;}'))()
此表单字段可以由查询字符串参数预填充,客户端将尝试执行它。又名潜在的攻击是 mysite.com?inputVal=cookieStealingProgram。我不希望用户能够链接到利用代码。
我想在正则表达式中添加括号和指数,例如,用户可以输入 (1 + 2)/3 ^ 5
。虽然我相当确定仅使用数字和运算符不可能进行任何攻击,但我不确定是否存在带括号的情况。
我知道只使用字符 的组合! [ ] + ( )
你可以创建一个 fully executable javascript program .我也曾尝试在 Google 中搜索“javascript exploit characters”和各种组合,但这并不是一件容易找到的事情。
我的具体问题是是否可以仅使用 0-9 编写任意 javascript 程序。 + -/* ( ) ^
(允许使用空格字符)?由于它有点开放性,如果几天后无法提供示例,我可以关闭这个问题。
我没有实现也没有制作解析器来执行此操作。这与问题无关
最佳答案
答案 1. 仅使用您列出的符号,您不能创建标识符,因此唯一可能的程序是算术表达式。要回答狭义问题,答案是否定的。
然而 Stack Overflow 被许多人阅读,并且有一些密切相关的问题会在类似情况下改变结果。
答案 2。 当代码库由一个知道自己在做什么的人维护时,最好使用答案 1。如果后来有人出现并希望用户(比如说)能够在其他地方象征性地引用价格,那么现在您有了标识符。如果后来的更改只是简单地向正则表达式添加字符,因为这是让它工作的最简单方法,那么你就有风险了。虽然我通常不喜欢试图防止愚蠢的语言功能,但这是一种为特定任务编写代码的特殊方式,似乎太容易出现错误修改。
答案 3. JSON 解析器的原始引用实现实际上使用 eval()
,但它使用 JSON 语法验证器保护该语句,确保输入是正确的结构良好。它在没有解析器的情况下执行此操作,而是通过一些巧妙编写的正则表达式来识别有效的子字符串并压缩它们。它有点类似于语法制导翻译中的 reduce
操作,但实际上没有计算表达式。在目前的情况下,诸如 /[0-9]+\+[0-9]+/0/
之类的正则表达式替换将原语加法重写为 0
。为每一种可能的归约写一个规则,并将它们全部放在一个循环中。当初始字符串长度与最终字符串长度相同时,循环终止。重写后的接受模式将是 /[0-9]+/
,通常只是 0
。
答案 4. 如果表达式的种类有可能需要标识符,那么使用解析器生成器通常是解决此类问题的最佳方法。在这种情况下,我不相信能够正确维护正则表达式重写系统。不可否认,对于完全按照提出的问题来说,这似乎有点矫枉过正。
对于生产代码,我推荐答案 3。
答案 2 扩展。 最大的可识别风险(所有风险的子集)是您有人将
$
添加到可接受的字符列表,毕竟它是一个价格字段, 和“用户投诉”。 $
是一个有效的标识符(通常指定为 jQuery),$0
也是如此,而 $0()
是一个有效的函数调用。虽然这不是直接风险,但它是一个促成风险,比方说,如果存在允许定义但不允许调用属性 window.$0
的其他安全缺陷。这样的代码将是一个安全缺陷,即使它本身不会导致安全漏洞。
关于javascript - 是否可以利用允许 PEMDAS 的 javascript 数学函数?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13594546/