我查看了 eslint-plugin-security 中的一条规则并发现用户输入理论上可能会导致远程代码执行错误。
const a = class {};
console.log(a['constructor']);
a['constructor']('console.log(1)')();
function b() {}
console.log(b['constructor']);
b['constructor']('console.log(2)')();
const c = {}
console.log(c['constructor'])
console.log(c['constructor']('console.log(3)')());
从代码片段中很容易看出类和函数的构造函数似乎解析字符串并将它们评估为有效代码。由于某种原因,对象不会表现出这种行为。
为什么会允许这种情况发生? JavaScript 的哪些功能需要函数/类构造函数的这种行为?我假设它是 JavaScript 工作方式不可或缺的一部分,否则我不明白为什么它没有从语言中删除。
最佳答案
问题是类的 .constructor
是 Function
,使用字符串调用 Function 构造函数会从该字符串创建一个函数,然后调用该函数结果是执行字符串的代码:
const a = class {};
console.dir(a['constructor'] === Function);
a['constructor']('console.log(1)')();
这实际上与
没有什么不同Function('console.log(1)')();
只是类的constructor
属性碰巧指向同一个东西。
如果您两次导航到 .constructor
属性(第一个访问 Object
构造函数,第二个访问 Function
构造函数):
const a = {};
console.dir(a['constructor'].constructor === Function);
a['constructor'].constructor('console.log(1)')();
如果您允许任意访问任何对象的属性,并且还允许使用任意参数调用这些属性,则几乎可以执行任何操作。原型(prototype)链(和 .constructor
)属性很有用,但像许多东西一样,它们可能会被滥用。
关于javascript - 为什么 JS 中的类/函数构造函数将字符串计算为表达式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60113342/