no-buffer-constructor

在Node.js中，Buffer构造函数的行为根据其参数的类型而有所不同。将用户输入的参数传递到Buffer()不验证其类型可能会导致安全漏洞，如远程内存泄露和拒绝服务。因此，Buffer构造函数已被弃用，不应使用。使用方法生产Buffer.from，Buffer.alloc以及Buffer.allocUnsafe代替。

规则细节

这个规则不允许调用和构造Buffer()构造函数。

此规则的错误代码示例：

new Buffer(5);
new Buffer([1, 2, 3]);

Buffer(5);
Buffer([1, 2, 3]);

new Buffer(res.body.amount);
new Buffer(res.body.values);

此规则的正确代码示例：

Buffer.alloc(5);
Buffer.allocUnsafe(5);
Buffer.from([1, 2, 3]);

Buffer.alloc(res.body.amount);
Buffer.from(res.body.values);

何时不使用它

如果您不使用Node.js，或者您仍然需要支持缺少类似方法的Node.js版本Buffer.from，则不应启用此规则。

进一步阅读

• 缓冲区API文档

• 修复Node.js缓冲区API

• 缓冲区（number）是不安全的

版本

该规则是在ESLint 4.0.0-alpha.0中引入的。

资源

• 规则来源

• 文档来源