我查看了eslint-plugin-security的一个规则,发现用户输入理论上可能导致远程代码执行错误。
const a = class {};
console.log(a['constructor']);
a['constructor']('console.log(1)')();
function b() {}
console.log(b['constructor']);
b['constructor']('console.log(2)')();
const c = {}
console.log(c['constructor'])
console.log(c['constructor']('console.log(3)')());从代码片段中很容易看出,类和函数的构造函数似乎解析字符串并将其评估为有效代码。由于某种原因,对象不表现出此行为。
为什么允许这种情况发生?JavaScript 的哪些特性需要函数/类构造函数的这种行为?我假设它是JavaScript工作方式不可或缺的一部分,否则我不明白为什么它没有从语言中删除。
问题是类的.constructor是Function,并且使用字符串调用函数构造函数会从该字符串创建一个函数,然后调用该函数会导致执行字符串的代码:
const a = class {};
console.dir(a['constructor'] === Function);
a['constructor']('console.log(1)')();这与
Function('console.log(1)')();只是类的constructor属性恰好指向同一件事。
如果向上导航到.constructor属性两次(第一个访问Object构造函数,第二个访问Function构造函数(,则对象可以显示相同的属性:
const a = {};
console.dir(a['constructor'].constructor === Function);
a['constructor'].constructor('console.log(1)')();如果您允许任意访问任何对象的属性,并且还允许使用任意参数调用这些属性,则几乎可以执行任何内容。原型链(和.constructor(属性是有用的,但像许多东西一样,它们可能会被滥用。