기본 콘텐츠로 건너뛰기

옛날 코드 다시 읽기 5 (new Function)

  옛날 코드를 생각하며.... 예전에 eval을 다루었던 적이 있었다. 뭐 대부분의 상황에서 eval은 백엔드에서 script를 전달하여, 클라이언트에서 사용 할 수 있게 만드는 역할을 하였다. 하지만, eval을 듣기만 해도 몸서리치는 사람들이 주변에 한 두명 정도는 있을 것이다.


 가장 큰 문제는

 코드 인젝션 : eval은 전달된 문자열을 코드로 실행하기 때문에, 외부 입력을 eval에 전달할 경우, 악의적인 사용자가 임의의 코드를 실행할 수 있는 보안 취약점이 생깁니다. 이는 XSS(Cross-Site Scripting)와 같은 공격에 취약하게 만듭니다.

 신뢰할 수 없는 소스 : eval에 의해 실행되는 코드가 신뢰할 수 없는 소스에서 온다면, 시스템이나 데이터를 손상시킬 수 있습니다.

위와 같은 문제를 꼽을 수 있다.


 그렇다면, 어떤 대안이 있을까? 서버가 클라이언트에 어떤 행동을 하게 하기 위한 대안 말이다. 문자열로 스크립트를 바로 실행 하지 않고, 함수를 만들어내는 것이다.

 당연하게도, new Function 키워드의 경우도 완벽한 보안을 제공하지는 않는다. 하지만, eval의 경우, 현재 스코프의 변수들을 접근 할 수 있는 반면, new Function은 글로벌함수만 접근 할 수 있고, 함수를 만들어내는 코드일 뿐, 실행에 대한 제어는 프런트에서 진행을 하게 된다.

 일단 오해를 풀고가야 하는 부분이 있다. eval < new Function 상대적으로 보안에 좋다는 거지, 당연하게도 매우 취약하다. 과거의 우리는 어쩔 수 없이 사용하였을 뿐, 대체할만한 코드는 너무나 많고 많다.


 하지만, 현대에 new Function이 갖는 의의는 서버에서 제공하는 문자열을 클라이언드에서 함수로 만들어서 실행 하는 것이 아니다! 

템플릿 엔진

 우리가 사용하는 .jsx에 대해 생각해보자, 자바스크립트에 그러한 문법이 있는가?

1번


const dom = <div>test</div>

 자 위의 코드를 생각해보자, <div>태그로 시작하는 값이 있는가이다?
 우리는 위의 코드를 보며, 아래의 내용으로 해석되어야 함을 알 수 있다.

2번


const dom = document.createElement('div');
dom.innerText = 'test'

 자 그러면 loader는 1번 "const dom = <div>test</div>"문자열을 받아, 2번으로 만들어내어야 한다.


function createDOMFunction(code) {
  // 정규식을 사용하여 태그와 내용을 추출
  const regex = /<(\w+)>([^<]*)<\/\1>/;
  const match = code.match(regex);

  if (match) {
    const tag = match[1]; // 태그명
    const content = match[2]; // 태그 내용

    // 동적 함수를 생성
    const functionBody = `
        const dom = document.createElement('${tag}');
        dom.innerText = '${content}';
        return dom;
    `;

    return new Function(functionBody);
  } else {
    throw new Error('Invalid code format');
  }
}

// 사용 예제
const domFunction = createDOMFunction('<div>test</div>');
const dom = domFunction();

 물론, 위의 예제만 가지고는 정확한 예제가 되지는 않을 수 있다. 내가 하고 싶은 말은 문자열을 가지고 어떠한 함수를 만들어내어야 한다. 이 관점을 보이고 싶은 부분이다.

 


function createTemplateFunction(code) {
  // 정규식을 사용하여 {{test}}와 같은 패턴을 추출
  const regex = /{{(.*?)}}/g;
  const matches = code.matchAll(regex);
  let interpretedCode = code;

  // 각 매치에 대해 변수 값을 해석하여 코드를 변경
  for (const match of matches) {
    const variableName = match[1].trim(); // {{test}}에서 'test' 추출
    interpretedCode = interpretedCode.replace(match[0], '${' + variableName + '}');
  }

  // 동적 함수를 생성
  const functionBody = `
    const template = \`${interpretedCode}\`;
    return template;
`;

  return new Function(functionBody);
}

function createDOMFunction(code) {
  // 정규식을 사용하여 태그와 내용을 추출
  const regex = /<(\w+)>([^<]*)<\/\1>/;
  code = createTemplateFunction(code)();
  const match = code.match(regex);

  if (match) {
    const tag = match[1]; // 태그명
    const content = match[2]; // 태그 내용

    // 동적 함수를 생성
    const functionBody = `
        const dom = document.createElement('${tag}');
        dom.innerText = '${content}';
        return dom;
    `;

    return new Function(functionBody);
  } else {
    throw new Error('Invalid code format');
  }
}

let test = 1
// 사용 예제
const domFunction = createDOMFunction('<div>{{test}}</div>');
const dom = domFunction();
console.log('dom', dom)

조금만 더 추가를 해보면, 위의 머스타치 부분을 해석을 해낼 수 있게 만들어 낼 수 있다.





댓글

댓글 쓰기

이 블로그의 인기 게시물

아이콘 폰트 (icomoon 사용법)

 장난감 프로젝트를 만들다 보면, 아이콘이 필요한 경우가 있다. 간단하게 아이콘을 인터넷에서 검색하여, 이미지로 넣어두고 이미지 태그를 이용하여, 사용하는 경우가 일반적이였지만...  요즘에는 대부분 폰트를 이용하여 아이콘을 노출 한다. 나 같은 경우에도 기본적으로  https://material.io/resources/icons 를 참고하여 아이콘 폰트를 이용할 수 있도록 처리하고, 추가적으로 필요한 아이콘이고, 일상적으로 사용 되지 않는 아이콘의 경우에는  https://icomoon.io 에서 제작하여, 아이콘 폰트로 이용 하곤 한다.  그래서 이번에는 아이콘  https://icomoon.io 의 사용법을 간단히 공유하고자 한다.   들어가자 마자 위의 icoMoonApp버튼을 누르면 아래와 같은 화면이 나타난다.  icomoon에서 무료로 제공하는 아이콘들이 보이면 위에 파란색으로 표시 되어있는 집 모양 세가지를 선택한 후, 아래의 빨간색으로 표시되어있는 Generate Font를 눌러보자.  그리고 나서 바로 다운로드를 요청해보자. icomoon.zip이 다운로드가 될텐데, 압축을 해제해 보면, 아래의 폴더 및 파일들이 있다. 아래에서 중요한 것은 font 폴더와 style.css이다. demo-files fonts demo.html Read Me.txt selection.json style.css <!doctype html > <html> <head> <link rel ="stylesheet" href ="style.css" ></head> </head> <body> <span class ="icon-home" ></span> <span class ="icon-home2" ></span> <span class ="icon-home3"
댓글 쓰기
Read more »

javascript 압축 파일 다운로드

이번에는 전 게시글의 응용판? 이라고 해야하나....? 어쨋든! 우리는 각각의 파일들을 다운로드 해보았다. 그런데 생각보다 귀찮음?을 느꼇을 것이다. 파일을 각각 다운 받아야 한다는 현실때문에! 그래 파일 두개야 뭐 그렇다 치지... 하지만, 개발자도 사용자도 게으름뱅이이다. 자 결국, 우리가 해야 하는 것은 파일을 한 번에 둘다! 다운 받는 것이다. 물론, 클릭 한번에 여러개의 함수를 엮어서 다운받게 하면 되지만! 크롬에서 자주 봤듯이, 여러개의 파일을 다운로드를 시도하면 <- 여러개의 파일을 다운로드 합니다. 허용 합니까? 하고 물어보는 것을 볼 수 있다. 게다가 다운로드 한 파일들을 찾기도 귀찮다는 것. 자 해결책을 제시해보자면, https://github.com/Stuk/jszip 클라이언트 단에서 파일을 zip파일로 압축을 할 수가 있다! 필요한 작업은 아래와 같다. 0. 데이터 준비 1. BLOB(binary large object)를 만든다. 2. Blob을 URL.createObjectURL을 사용하여, 해당 binary의 주소를 생성. 3. 다운로드가 필요한 파일들을 Zip 객체에 셋팅! 4. a태그를 이용하여, 해당 url 셋팅 하고, 다운로드. 전 게시물과 별로 달라진게 없네... 자 그럼 샘플! 샘플을 보자! http://embed.plnkr.co/NMprnRxqYG0fkHa2J55D/ var util = {} function fixBinary(bin) { //binary to arrayBuffer var length = bin.length var buf = new ArrayBuffer(length) var arr = new Uint8Array(buf) for (var i = 0; i < length; i++) { arr[i] = bin.charCodeAt(i) } return buf } window.onload = function() {
댓글 쓰기
Read more »

Chart js와 amchart 비교

Chart js 특징은 위의 그림으로 대체 할 수 있을 듯 하다. 오픈 소스이고, 기본으로 제공하는 차트 종류가 8가지 Canv a s를 이용해서 차트를 그리고, 반응형을 지원한다. amchart amchart는 기본적으로 유료이며, 기본으로 제공하는 차트 종류가 기본적인 차트 + 주식 처럼 보이는 차트 + 지도에 관련된 차트(?) 까지 하면, 기본 제공 하는 종류가 20개 내외 이려나, 일일이 세기에는 양이 좀 많아 보인다. 렌더링은 svg를 통하여 그려지고, 당연 반응형도 지원이 된다. 그러면, 이 둘중에 어떤것이 내 프로젝트에 적합 하냐는 것이 문제이다. 일단, 주식 처럼 보이는 차트나 지도에 관련된 차트(?)가 필요하면, amchart를 선택해야 되는 것은 맞다. 그건 당연한 것이니 빼고 얘기 해보자! 여러 종류의 차트가 필요하다면, 일단은 amchart를 염두해 두는 것이 좋다. 돈 낸 만큼은 하는 듯 하다. 하지만, 기본적인 막대 그래프, 도넛 차트 등, 아주 기본적인 차트들인데, Chart js도 amchart도 그러한 차트가 없을 때가 문제가 된다. 그렇다면, 조금이라도 커스텀이 용이한 것을 찾는 것이 좋을 것이다.  일단 amchart에서 custom이라고 검색 하였을 때, 검색 결과가 61가지가 나온다. 차트의 종류도 많고, 각 차트마다 들어가는 속성이 매우 많기 때문에, 웬만한 내용들은 속성 값을 어떻게 주느냐에 따라서 변경이 가능 하게 된다. 커스텀의 예를 들면, 기본적으로 도넛 파이의 형태를 띄면서, 화살표로 목표를 표시해주는 차트가 필요하다고 생각 해보자. 이것은 amchart로 만든 그래프이고 이것은 chart js로 만든 그래프이다. 모양이 살짝 다르긴 하지만, 완벽하게 똑같이 구현 할 수도 있다. amchart로 만든 그래프의 경우, 저것은 도넛그래프가 아닌 guage 그래프이다. 원래 게이지 그래프는 이와 같은 모약
댓글 쓰기
Read more »