Здесь цитата из MDN:
Строки шаблонов НЕ ДОЛЖНЫ быть построены ненадежными пользователями, поскольку они имеют доступ к переменным и функциям.
И пример:
`${console.warn("this is",this)}`; // "this is" Window
let a = 10;
console.warn(`${a+=20}`); // "30"
console.warn(a); // 30
В этом примере не обнаружены уязвимости, которые я вижу.
Может ли кто-нибудь привести пример эксплойта, который использует это?
Это не имеет смысла. Строка шаблона не имеет доступа ни к чему, она также не выполняется. Строка шаблона является синтаксическим элементом языка.
Динамическое построение строки шаблона без проблем - это похоже на создание выражения (в любом формате, будь то строка кода или AST). Проблема MDN заключается в оценке такого выражения (например, с использованием eval, сериализации его в script, который подается пользователю и т.д.) - он может содержать произвольный код, в отличие от строкового литерала! Но, конечно же, вы бы этого не сделали, не так ли?
Это предупреждение похоже на то, что "Конкатенации с использованием оператора + не должны создаваться ненадежными пользователями, поскольку они имеют доступ к переменным и функциям". и приведя для него пример "" + console.warn("this is",this) + "". Ну, это верно для любого выражения языка, поэтому это не особенно интересно.
В то время как мы говорим о дрянной кодировке, есть, конечно, сценарий, в котором использование строк шаблонов (эй, они многострочные и еще ничего) вместо строковых литералов может привести к проблемам:
function escapeString(str) {
return JSON.stringify(str).slice(1, -1)
.replace(/\u2028/g, "\\u2028").replace(/\u2029/g, "\\u2029");
}
// This is (kinda) fine!
var statement = 'var x = "Hello,\\n'+escapeString(userInput)+'";';
eval(statement); // some kind of evaluation
// But this is not:
var statement = 'var x = `Hello,\n'+escapeString(userInput)+'`;';
// ^ ^
Теперь представьте, что userInput содержит ${…} - который мы не убежали...
Я думаю, что @Bergi прав - опасность здесь включает использование eval или подобных методов, позволяющих пользователю создавать фактическую строку шаблона, а не замены.
Пример использования: ленивый разработчик хочет разрешить пользователям выполнять некоторые строковые подстановки в своих комментариях, например. ссылаться на других пользователей или вопросы на сайте типа SO. Вместо того, чтобы разрабатывать токены для этого, а затем делать соответствующий синтаксический анализ и замену, он решает, что он примет синтаксис следующим образом:
"I think ${firstPoster} is an idiot! See ${question(1234)} for details!"
и запустить его с помощью следующей функции:
var firstPoster = {...};
function question() {...}
processInput(input) {
return eval('`' + input + '`');
}
Если этот код eval 'd на клиенте и показан другим пользователям, злоумышленник может вставить атаку XSS. Если он eval 'd на сервере, злоумышленник может взять под свой контроль машину.