1. ホーム
  2. 質問と答え
  3. Javascriptで算術式を安全に評価する

Javascriptで算術式を安全に評価する

2011-02-21 16 views
13

Javascriptで "2 *(3 + 4)"のようなユーザー入力の算術式を評価する必要がありますが、セキュリティ上の理由からevalは使用しません。Javascriptで算術式を安全に評価する

私は数字や演算子はありませんが、私は、これはとにかく安全であろうと、ユーザが cossqrt、などのような機能を使うことができれば、それはいいだろうわからないすべての文字を取り除くことができ

...

算術式の評価を行うJavascriptライブラリはありますか?

出典

2011-02-21 Giuseppe Ottaviano

+0

あなたがロールしていない限り、セキュリティ上の問題は解決されませんか? – James

答えて

20

あなたはJavaScript Expression Evaluatorを試すことができます。

このライブラリは ラファエルグラーフのActionScript表現 パーサの修正版です。 JavaScript 関数プロッタを記述したとき、私はを の方が良く、JavaScriptのeval 関数の代わりに使用したいと思っていました。 セキュリティリスクはありません。 コードは自分のブラウザでのみ実行できますが、2^xの代わりにMath.pow(2^x) などの便利なコードは ではありません。

その後、あなたのコードがそのようになります:

console.info (Parser.evaluate("2 * (3 + 4)")); //prints 14

出典

2011-02-21 14:18:47 Maxym

+1

ありがとう!それはまさに私が探していたものです。私は私が "表現評価"の可能なバリエーションをすべて見つけようと誓っています... –

1

正規表現を使用して、ホワイトリスト以外のすべてを置き換えることができます。しかし、JavaScriptがクライアント上で実行されているので(あなたがAOL httpサーバーを実行している場合を除き)、入力を変更できる人なら誰でもコードを変更することができます。多かれ少なかれ安全ですすでにあります。

出典

2011-02-21 14:15:18 symcbean

+1

評価する式を入力するユーザーがこの式を評価するユーザーと同じかどうかによって異なります。 – Bruno

9

は、既に述べたように、すべてのユーザーが行うことができ、ほとんどの被害は、彼らはすでにのいずれかに内蔵されたコンソールを使用して何ができるかはかなりあります主要なブラウザしかし、ユーザがMathのプロパティ/メソッドを使用するように制限したい場合は、これを処理する簡単な正規表現を書くことができます。このような何か作業をする必要があります:

function mathEval (exp) { 
    var reg = /(?:[a-z$_][a-z0-9$_]*)|(?:[;={}\[\]"'!&<>^\\?:])/ig, 
     valid = true; 

    // Detect valid JS identifier names and replace them 
    exp = exp.replace(reg, function ($0) { 
     // If the name is a direct member of Math, allow 
     if (Math.hasOwnProperty($0)) 
      return "Math."+$0; 
     // Otherwise the expression is invalid 
     else 
      valid = false; 
    }); 

    // Don't eval if our replace function flagged as invalid 
    if (!valid) 
     alert("Invalid arithmetic expression"); 
    else 
     try { alert(eval(exp)); } catch (e) { alert("Invalid arithmetic expression"); }; 
}

私はあなたがセキュリティ上の理由からevalを使いたくなかったが、それはの直接プロパティではありませんが、任意の単語を除外するとして正規表現は、それはかなり安全にする必要があります実現します代入演算子(=)と2項演算子を含むMathオブジェクトとほとんどの非算術JS演算子。より難しい方法は、正規表現ではないため、数式を解析するトークナイザを書くことです。

私が書いたのは、あなたが問題が発生した場合や、お気づきの点がございましたら、コメントを残しておいてください。私はそれを修正するために何ができるかを見ていきます。

注:李江は、また Math.PIのようなもののための下部ケースを許可すると便利かもしれません in JavaScript chatを述べました。その場合は、あなただけの置換機能で、次の else ifのステートメントを追加することができます。 

else if (Math.hasOwnProperty($0.toUpperCase()) 
    return "Math."+$0.toUpperCase();

ifelse声明(example)の間に、それを追加します。

出典

2011-02-21 14:38:49

+0

偉大なアプローチは、それは私に同様の問題を解決するのを助けた – odiseo

+3

"どのような主要なブラウザでも組み込みのコンソールを使ってできることは、偽りの前提に基づいています。文字列は、サーバーとURLを介してブラウザの外部から取得されます。最善の方針は、関数への入力が、他の開発者がアプリケーションに追加するときに期待していない場所から来ると仮定してコード化することです。これは、 'eval'のような強力な演算子を使わないことを意味します。 –

+1

@Mike:私は100%の意見に同意するのは難しいです。あなたが言ったことは他のソースからの入力を評価するときは真実ですが、私はあなたがユーザー入力を評価しているときの私の答えを立てています。 –

3

JavaScriptの評価を使用しないmath.jsの高度な式パーサーを使用できます。

http://mathjs.org

使用法:

var ans = math.eval('2 * (3 + 4)');

または(変数と関数割り当てをサポートしている)パーサを使用します。

var parser = math.parser(); 
var ans = parser.eval('2 * (3 + 4)');

出典

2013-04-28 12:38:29

1

nerdamer

var result = nerdamer('sqrt(4)+cos(1)-2').evaluate(); 
 
document.getElementById('text').innerHTML = result.text();
<script src="http://nerdamer.com/js/nerdamer.core.js"></script> 
 
<div id="text"></div>
をお試しください

出典

2015-09-29 22:05:46 ArchHaskeller

関連する問題

 関連する問題