JSLint的目的“不允许不安全的regex”选项。-PurposeofJSLint“disallowinsecureinregex”option

作者：手机用户2502898443 | 来源：互联网 | 2023-05-18 05:53

IhavealineofcodethatgetsthefollowingerrorwhenrunthroughJSLint:我有一行代码，在使用JSLint时得到如下错误

I have a line of code that gets the following error when run through JSLint:

我有一行代码，在使用JSLint时得到如下错误:

Lint at line 604 character 48: Insecure '^'.
numExp = parseInt(val[1].replace(/[^\-+\d]/g, ""), 10);

This error seems to refer to the following description from JSLint's option page:

这个错误似乎引用了JSLint的选项页面的以下描述:

"true if . and [^...]  should not be allowed in RegExp literals.
These forms should not be used when validating in secure applications."

I don't quite understand how a client-side Javascript application can really be considered secure. Even with the most airtight regex, it's still possible to fire up something like firebug and change the variable anyway. The real input validation should be done on the server, and the client browser should probably stick with validation that will handle the abuse of your average user.

我不太理解客户端Javascript应用程序是如何被认为是安全的。即使使用了最严密的regex，仍然可以启动firebug之类的东西并修改变量。真正的输入验证应该在服务器上完成，客户端浏览器可能应该坚持使用验证来处理普通用户的滥用。

Is it safe to ignore this error? Am I missing an angle here where my application will be insecure because of client-side input validation?

忽略这个错误安全吗?在这里，我是否缺少一个角度，使我的应用程序由于客户端输入验证而变得不安全?

2 个解决方案

#1

"Insecure" means "unspecific" in this context. Both the dot . and the exclusive range [^…] are not clearly defining what should be matched by the regex. For validation purposes, this can propose the risk of successfully matching stuff that you did not think of and do not want (think: white-listing vs. black-listing).

在这种情况下，“不安全”指的是“不特定的”。这两个点。和专属范围[^…]并不明确地定义应该由正则表达式匹配。出于验证目的，这可能会导致成功匹配您没有考虑过和不想要的内容的风险(请考虑:白名单与黑名单)。

In any case, dot and exclusive range are valid parts of a regular expression, and if they do what you need (like in this case), I would think of the warning as over-cautious.

在任何情况下，点和独占范围都是正则表达式的有效部分，如果它们执行了您需要的操作(如本例中所示)，我将认为警告过于谨慎。

A malicious user can fiddle with your page logic any time; the warning is more about the regular operation of the page.

恶意用户可以随时篡改您的页面逻辑;警告更多的是关于页面的常规操作。

#2

All it's trying to tell you is that it's generally better to specify what can be entered instead of what can't.

它试图告诉你的是，通常最好指定可以输入的内容，而不是不能输入的内容。

In this case, your regex is actually stripping out bad characters, so it's safe to ignore the warning.

在这种情况下，您的regex实际上删除了坏字符，因此可以安全地忽略警告。

推荐阅读

join
在JavaScript中实现电子邮件和密码的输入验证 - Implementing Input Validation for Email and Password in JavaScript

本文旨在构建一个JavaScript函数，用于对用户输入的电子邮件地址和密码进行有效性验证。该函数将确保输入符合标准格式，并检查密码强度，以提升用户账户的安全性。通过集成正则表达式和条件判断语句，该方法能够有效防止常见的输入错误，同时提供即时反馈，改善用户体验。 ... [详细]

蜡笔小新 2024-10-24 14:23:11
byte
HBase Java API 进阶：过滤器详解与应用实例

本文详细探讨了HBase 1.2.6版本中Java API的高级应用，重点介绍了过滤器的使用方法和实际案例。首先，文章对几种常见的HBase过滤器进行了概述，包括列前缀过滤器（ColumnPrefixFilter）和时间戳过滤器（TimestampsFilter）。此外，还详细讲解了分页过滤器（PageFilter）的实现原理及其在大数据查询中的应用场景。通过具体的代码示例，读者可以更好地理解和掌握这些过滤器的使用技巧，从而提高数据处理的效率和灵活性。 ... [详细]

蜡笔小新 2024-11-05 15:08:18
random
JavaScript进阶之旅：第三阶段深入探索

在《JavaScript进阶之旅：第三阶段深入探索》中，我们将通过一系列复杂的代码示例，深入探讨JavaScript的高级特性与应用技巧。本阶段将重点讲解如何利用用户输入进行动态交互，例如通过提示框获取1到9之间的正整数，并基于此实现更多功能。此外，还将介绍如何优化代码结构，提升程序的可读性和维护性。 ... [详细]

蜡笔小新 2024-10-24 16:31:53
main
Java设计模式详解：解释器模式的应用与实现

本文详细介绍了Java设计模式中的解释器模式，包括其定义、应用场景、优缺点以及具体的实现示例。通过音乐解释器的例子，帮助读者更好地理解和应用这一模式。 ... [详细]

蜡笔小新 2024-11-14 21:00:34
timezone
Spring Boot 中使用 spring-boot-starter-quartz 实现定时任务

本文介绍了如何在 Spring Boot 项目中使用 spring-boot-starter-quartz 组件实现定时任务，并将 cron 表达式存储在数据库中，以便动态调整任务执行频率。 ... [详细]

蜡笔小新 2024-11-14 18:55:09
client
Cookie学习小结

Cookie学习小结 ... [详细]

蜡笔小新 2024-11-14 16:26:25
join
python模块之正则

re模块可以读懂你写的正则表达式根据你写的表达式去执行任务用re去操作正则正则表达式使用一些规则来检测一些字符串是否符合个人要求，从一段字符串中找到符合要求的内容。在 ... [详细]

蜡笔小新 2024-11-14 15:52:38
client
Native与HTML5交互基础教程

本文将介绍如何在混合开发（Hybrid）应用中实现Native与HTML5的交互，包括基本概念、学习目标以及具体的实现步骤。 ... [详细]

蜡笔小新 2024-11-14 12:33:11
join
Python基础：使用NLTK和Python构建机器学习应用

本文节选自《NLTK基础教程——用NLTK和Python库构建机器学习应用》一书的第1章第1.2节，作者Nitin Hardeniya。本文将带领读者快速了解Python的基础知识，为后续的机器学习应用打下坚实的基础。 ... [详细]

蜡笔小新 2024-11-13 21:23:34
byte
Java Socket 关键参数详解与优化建议

Java Socket 的 API 虽然被广泛使用，但其关键参数的用途却鲜为人知。本文详细解析了 Java Socket 中的重要参数，如 backlog 参数，它用于控制服务器等待连接请求的队列长度。此外，还探讨了其他参数如 SO_TIMEOUT、SO_REUSEADDR 等的配置方法及其对性能的影响，并提供了优化建议，帮助开发者提升网络通信的稳定性和效率。 ... [详细]

蜡笔小新 2024-11-09 21:38:05
client
理解和优化进程与线程状态转换机制

在Cisco IOS XR系统中，存在提供服务的服务器和使用这些服务的客户端。本文深入探讨了进程与线程状态转换机制，分析了其在系统性能优化中的关键作用，并提出了改进措施，以提高系统的响应速度和资源利用率。通过详细研究状态转换的各个环节，本文为开发人员和系统管理员提供了实用的指导，旨在提升整体系统效率和稳定性。 ... [详细]

蜡笔小新 2024-11-09 18:33:35
python
Python正则表达式详解：掌握数量词用法轻松上手

Python正则表达式详解：掌握数量词用法轻松上手 ... [详细]

蜡笔小新 2024-10-28 09:12:57
jsp
谜题20：探索未知类的本质与特征

下面的代码旨在输出其类文件的完整名称。对于不熟悉类字面量的读者，`Me.class.getName()` 方法会返回类的全称，例如 “com.javapuzzlers.Me”。通过这一机制，可以深入了解 Java 类加载和反射机制的内部工作原理。 ... [详细]

蜡笔小新 2024-10-26 16:04:35
express
PHP正则表达式在数据抓取中的应用与深入解析

PHP正则表达式主要用于字符串的模式分割、匹配、查找及替换操作。使用正则表达式在某些简单的环境下可能效率不高，因此如何更好的使用PHP正则表达式需要综合考虑。PHP正则表达式的定义 ... [详细]

蜡笔小新 2024-10-22 10:49:30
express
玩转Koa koarouter道理剖析

一、媒介 Koa为了坚持本身的简约，并没有绑缚中间件。然则在现实的开辟中，我们须要和五花八门的中间件打交道，本文将要剖析的是常常用到的路由中间件—koa-router。假如你 ... [详细]

蜡笔小新 2024-10-21 18:53:32

手机用户2502898443

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章