当前位置 : 主页 > 网络编程 > net编程 >

.NET Framework 4.5 新特性(三)

来源:互联网 收集:自由互联 发布时间:2023-10-08
正则表达式超时(超时) “正则表达式”一直是做验证首选的方式。如果你是正则表达式的新手,请看正则表达式,我解释了正则表达式是如何执行的。但是正因为正则表达式的典型逻

正则表达式超时(超时)

“正则表达式”一直是做验证首选的方式。如果你是正则表达式的新手,请看正则表达式,我解释了正则表达式是如何执行的。但是正因为正则表达式的典型逻辑解析使得它暴露于DOS攻击下。让我们试着理解刚才我说的。

作为例子请考虑这样的正则表达式-“^(\d+)$”。这个正则表达式表明只能有数字。你也可以看正则表达式符号图,它标明了这个正则表达式会如何求值。现在让我们假设要验证“123456X”。这将有6条路径如下图所示。

.NET Framework 4.5 新特性(三)_字符串

但如果我们再多加一个数字进去,将会有7条路径。换句话说,随着字符长度的增加,正则表达式将会花更多时间执行。也就是说,求值时间与字符长度成线性比例。

.NET Framework 4.5 新特性(三)_正则表达式_02

现在让我们把之前定义的正则式从“^(\d+)$”变为“^(\d+)+$”。如果你看正则表达式符号图它将相当复杂。如果我们现在试着验证“123456X”,将会有32条路径。如果你再增加一个字符,路径数将会增加到64。

.NET Framework 4.5 新特性(三)_拒绝服务_03

换句话说,上面的正则表达式中时间开销与字符数目为成倍关系。

.NET Framework 4.5 新特性(三)_字符串_04

现在你可能要问的是,这很重要吗?线性上升的求值时间可以被黑客利用来进行DOS(拒绝服务)攻击。他们可以部署一个长而且是足够长的字符串来使你的应用永远挂起。

对于这个问题合适的解决方法是在正则表达式执行上设置超时时间。好消息是,在.NET4.5中你可以定义一个超时属性如下代码所示。所以如果你收到任何怀有恶意的字符串,应用不会永远在循环中执行。


上一篇:.NET Framework 4.5 新特性(一)
下一篇:没有了
网友评论