避免使用变量加载模块
一段解释
避免使用被指定为参数的路径变量导入(requiring/importing)另一个文件, 因为该变量可能源自用户输入。此规则可以扩展到一般情况下的访问文件(例如,fs.readFile()
),或者包含源自用户输入的动态变量的其他敏感资源。
代码示例
// 不安全, 因为helperPath变量可能通过用户输入而改变
const uploadHelpers = require(helperPath);
// 安全
const uploadHelpers = require('./helpers/upload');
当前内容版权归 goldbergyoni 或其关联方所有,如需对内容或内容相关联开源项目进行关注与资助,请访问 goldbergyoni .