正则表达式性能陷阱：ReDoS攻击与防御

一个写得不好的正则表达式，可能让你的服务直接挂掉。这就是 ReDoS（Regular Expression Denial of Service）。

什么是 ReDoS

某些正则在匹配特定输入时会触发灾难性回溯（catastrophic backtracking），CPU 100% 且长时间无法返回。

例如这个看似无害的正则：

^(a+)+$

输入 aaaaaaaaaaaaaaaaab，匹配时间随 a 的数量指数增长。20 个 a 就需要上百万次回溯。

为什么会这样

NFA（非确定性有限自动机）引擎在遇到嵌套量词时，每个字符都有多种匹配路径。失败时需要逐一尝试所有组合。

真实案例

• 2016 年 Stack Overflow 宕机：一个用于去除空格的正则导致
• Cloudflare 2019 年全球故障：WAF 规则中的正则触发 CPU 飙升
• npm 包 ua-parser-js 的正则被利用进行 DoS

危险模式

认识这些模式，避免踩坑：

(a+)+          # 嵌套量词
(a|a)+         # 重叠分支
(a+b?)*        # 量词嵌套可选
(.*a){n}       # 贪婪匹配 + 重复

防御措施

1. 使用安全的正则引擎

• RE2（Google）：保证线性时间，不回溯
• Rust 的 regex crate：同样基于 DFA/NFA 混合，无回溯

2. 静态检测

# npm 工具
npx vuln-regex-detector "^(a+)+$"

# Python
pip install regexploit
regexploit --pattern "^(a+)+$"

3. 运行时超时

给正则匹配设置超时时间。.NET 原生支持，其他语言可以用线程/协程超时包装。

4. 重写正则

# 危险
^(a+)+$

# 安全
^a+$

大多数时候，简化正则就能消除风险。

建议

1. 代码审查时重点关注正则表达式
2. CI 中加入正则安全扫描
3. 用户输入永远不要直接传入正则引擎
4. 优先选择 RE2 等安全引擎