在现代JavaScript开发中,异步编程已成为常态,但同时也带来了安全风险。恶意攻击者可能通过滥用Promise和async/await机制发起攻击,如无限循环、资源耗尽或竞态条件。本文将对比几种关键的异步安全防护方案。
问题场景演示 首先,让我们看一个典型的恶意异步攻击示例:
// 恶意代码:无限递归Promise
function maliciousAsync() {
return new Promise((resolve) => {
setTimeout(() => {
resolve(maliciousAsync()); // 递归调用
}, 10);
});
}
// 这会导致栈溢出或浏览器冻结
maliciousAsync().catch(console.error);
防护方案对比
方案一:超时控制机制
function withTimeout(promise, timeout = 5000) {
return Promise.race([
promise,
new Promise((_, reject) =>
setTimeout(() => reject(new Error('Timeout')), timeout)
)
]);
}
// 使用示例
withTimeout(maliciousAsync(), 1000)
.then(result => console.log('成功'))
.catch(error => console.log('超时或错误:', error.message));
方案二:递归深度限制
let recursionDepth = 0;
const MAX_DEPTH = 10;
function safeAsync(depth = 0) {
if (depth > MAX_DEPTH) {
throw new Error('递归深度超限');
}
return new Promise((resolve) => {
setTimeout(() => {
resolve(safeAsync(depth + 1));
}, 10);
});
}
// 安全调用
safeAsync()
.catch(error => console.log('安全防护:', error.message));
方案三:Promise链式防御
function chainGuard(promiseFn) {
return function(...args) {
const startTime = Date.now();
return promiseFn.apply(this, args)
.finally(() => {
const duration = Date.now() - startTime;
if (duration > 10000) {
console.warn('异步操作耗时过长:', duration + 'ms');
}
});
};
}
// 应用防御
const guardedAsync = chainGuard(maliciousAsync);
guardedAsync().catch(console.error);
通过对比可以看出,超时控制是最直接有效的防护手段,而递归深度限制适合特定场景。建议在生产环境中组合使用多种防护机制以确保安全。
讨论