Verhindern, dass gefährliche Regex die Anwendung stoppt

Question

Regexes sind dangerous, very dangerous. Regex-Operationen werden vom Hauptthread verarbeitet, der die Ereignisschleife überwacht. Ist es möglich, sicherzustellen, dass ein gefährlicher Regex meine Anwendung nicht stoppt? Sollte ich die Regex-Operationen an eine eigene thread pool weitergeben? Gibt es dafür eine Norm? Natürlich werden Tests, Überwachungen usw. durchgeführt, aber gibt es einen allgemeinen Ansatz, um diese Art von Katastrophen zu verhindern?

Answer 1

Sie können einen Trick mit dem vm-Modul von Node.js verwenden. (verfügbar in den Verzweigungen v0.12.x, v4.x und v5.x), beschrieben in Mitigating Catastrophic Backtracking in Node.js Regular Expressions. Die Idee besteht darin, eine Zeitüberschreitung für eine Regex-Vergleichsoperation festzulegen und die Übereinstimmung zu beenden, sobald sie einen bestimmten Zeitraum erreicht hat.

Hier ist ein Ausschnitt aus dem Artikel, den Sie nutzen können:

const util = require('util'); 
const vm = require('vm'); 
var sandbox = { 
    result: null 
}; 
var context = vm.createContext(sandbox);  
console.log('Sandbox initialized: ' + vm.isContext(sandbox)); 
var script = new vm.Script('result = /^(A+)*B/.test(\'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAC\');'); 
try{ 
    // One could argue if a RegExp hasn't processed in a given time. 
    // then, its likely it will take exponential time. 
    script.runInContext(context, { timeout: '1000' }); // milliseconds 
} 
catch(e){ 
    console.log('ReDos occurred'); // Take some remedial action here... 
} 
console.log(util.inspect(sandbox)); // Check the results