有哪些動態(tài)執(zhí)行腳本的場景？

在一些應(yīng)用中，我們希望給用戶提供插入自定義邏輯的能力，比如 Microsoft 的 Office 中的 VBA，比如一些游戲中的 lua 腳本，F(xiàn)ireFox 的「油猴腳本」，能夠讓用戶發(fā)在可控的范圍和權(quán)限內(nèi)發(fā)揮想象做一些好玩、有用的事情，擴(kuò)展了能力，滿足用戶的個性化需求。

大多數(shù)都是一些客戶端程序，在一些在線的系統(tǒng)和產(chǎn)品中也常常也有類似的需求，事實上，在線的應(yīng)用中也有不少提供了自定義腳本的能力，比如 Google Docs 中的 Apps Script，它可以讓你使用 JavaScript 做一些非常有用的事情，比如運(yùn)行代碼來響應(yīng)文檔打開事件或單元格更改事件，為公式制作自定義電子表格函數(shù)等等。

與運(yùn)行在「用戶電腦中」的客戶端應(yīng)用不同，用戶的自定義腳本通常只能影響用戶自已，而對于在線的應(yīng)用或服務(wù)來講，有一些情況就變得更為重要，比如「安全」，用戶的「自定義腳本」必須嚴(yán)格受到限制和隔離，即不能影響到宿主程序，也不能影響到其它用戶。

而 Safeify 就是一個針對 Nodejs 應(yīng)用，用于安全執(zhí)行用戶自定義的非信任腳本的模塊。

怎樣安全的執(zhí)行動態(tài)腳本？

我們先看看通常都能如何在 JavaScript 程序中動態(tài)執(zhí)行一段代碼？比如大名頂頂?shù)?eval

eval('1+2')

上述代碼沒有問題順利執(zhí)行了，eval 是全局對象的一個函數(shù)屬性，執(zhí)行的代碼擁有著和應(yīng)程中其它正常代碼一樣的的權(quán)限，它能訪問「執(zhí)行上下文」中的局部變量，也能訪問所有「全局變量」，在這個場景下，它是一個非常危險的函數(shù)。

再來看看 Functon，通過 Function 構(gòu)造器，我們可以動態(tài)的創(chuàng)建一個函數(shù)，然后執(zhí)行它

const sum = new Function('m', 'n', 'return m + n');
console.log(sum(1, 2));

它也一樣的順利執(zhí)行了，使用 Function 構(gòu)造器生成的函數(shù)，并不會在創(chuàng)建它的上下文中創(chuàng)建閉包，一般在全局作用域中被創(chuàng)建。當(dāng)運(yùn)行函數(shù)的時候，只能訪問自己的本地變量和全局變量，不能訪問 Function 構(gòu)造器被調(diào)用生成的上下文的作用域。如同一個站在地上、一個站在一張薄薄的紙上一樣，在這個場景下，幾乎沒有高下之分。

結(jié)合 ES6 的新特性 Proxy 便能更安全一些

function evalute(code,sandbox) {
 sandbox = sandbox || Object.create(null);
 const fn = new Function('sandbox', `with(sandbox){return ($[code])}`);
 const proxy = new Proxy(sandbox, {
 has(target, key) {
  // 讓動態(tài)執(zhí)行的代碼認(rèn)為屬性已存在
  return true; 
 }
 });
 return fn(proxy);
}
evalute('1+2') // 3
evalute('console.log(1)') // Cannot read property 'log' of undefined

我們知道無論 eval 還是 function，執(zhí)行時都會把作用域一層一層向上查找，如果找不到會一直到 global，那么利用 Proxy 的原理就是，讓執(zhí)行了代碼在 sandobx 中找的到，以達(dá)到「防逃逸」的目的。

在瀏覽器中，還可以利用 iframe，創(chuàng)建一個再發(fā)安全的一些隔離環(huán)境，本文也著眼于 Node.js，在這里不做過多討論。
在 Node.js 中呢，有沒有其它選擇？

或許沒看到這兒之前你就已經(jīng)想到了 VM，它是 Node.js 默認(rèn)就提供的一個內(nèi)建模塊，VM 模塊提供了一系列 API 用于在 V8 虛擬機(jī)環(huán)境中編譯和運(yùn)行代碼。JavaScript 代碼可以被編譯并立即運(yùn)行，或編譯、保存然后再運(yùn)行。

const vm = require('vm');
const script = new vm.Script('m + n');
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
script.runInContext(context);

執(zhí)行上這的代碼就能拿到結(jié)果 3，同時，通過 vm.Script 還能指定代碼執(zhí)行了「最大毫秒數(shù)」，超過指定的時長將終止執(zhí)行并拋出一個異常

try {
 const script = new vm.Script('while(true){}',{ timeout: 50 });
 ....
} catch (err){
 //打印超時的 log
 console.log(err.message);
}

上面的腳本執(zhí)行將會失敗，被檢測到超時并拋出異常，然后被 Try Cache 捕獲到并打出 log，但同時需要注意的是 vm.Script 的 timeout 選項「只針對同步代有效」，而不包括是異步調(diào)用的時間，比如

const script = new vm.Script('setTimeout(()=>{},2000)',{ timeout: 50 });
 ....

上述代碼，并不是會在 50ms 后拋出異常，因為 50ms 上邊的代碼同步執(zhí)行肯定完了，而 setTimeout 所用的時間并不算在內(nèi)，也就是說 vm 模塊沒有辦法對異步代碼直接限制執(zhí)行時間。我們也不能額外通過一個 timer 去檢查超時，因為檢查了執(zhí)行中的 vm 也沒有方法去中止掉。

另外，在 Node.js 通過 vm.runInContext 看起來似乎隔離了代碼執(zhí)行環(huán)境，但實際上卻很容易「逃逸」出去。

const vm = require('vm');
const sandbox = {};
const script = new vm.Script('this.constructor.constructor("return process")().exit()');
const context = vm.createContext(sandbox);
script.runInContext(context);

執(zhí)行上邊的代碼，宿主程序立即就會「退出」，sandbox 是在 VM 之外的環(huán)境創(chuàng)建的，需 VM 中的代碼的 this 指向的也是 sandbox，那么

//this.constructor 就是外所的 Object 構(gòu)建函數(shù)
const ObjConstructor = this.constructor; 
//ObjConstructor 的 constructor 就是外包的 Function
const Function = ObjConstructor.constructor;
//創(chuàng)建一個函數(shù)，并執(zhí)行它，返回全局 process 全局對象
const process = (new Function('return process'))(); 
//退出當(dāng)前進(jìn)程
process.exit(); 

沒有人愿意用戶一段腳本就能讓應(yīng)用掛掉吧。除了退出進(jìn)程序之外，實際上還能干更多的事情。

有個簡單的方法就能避免通過 this.constructor 拿到 process，如下：

const vm = require('vm');
//創(chuàng)建一外無 proto 的空白對象作為 sandbox
const sandbox = Object.create(null);
const script = new vm.Script('...');
const context = vm.createContext(sandbox);
script.runInContext(context);

但還是有風(fēng)險的，由于 JavaScript 本身的動態(tài)的特點，各種黑魔法防不勝防。事實 Node.js 的官方文檔中也提到 VM 當(dāng)做一個安全的沙箱去執(zhí)行任意非信任的代碼。

有哪些做了進(jìn)一步工作的社區(qū)模塊？

在社區(qū)中有一些開源的模塊用于運(yùn)行不信任代碼，例如 sandbox、vm2、jailed 等。相比較而言 vm2 對各方面做了更多的安全工作，相對安全些。

從 vm2 的官方 READM 中可以看到，它基于 Node.js 內(nèi)建的 VM 模塊，來建立基礎(chǔ)的沙箱環(huán)境，然后同時使用上了文介紹過的 ES6 的 Proxy 技術(shù)來防止沙箱腳本逃逸。

用同樣的測試代碼來試試 vm2

const { VM } = require('vm2');
new VM().run('this.constructor.constructor("return process")().exit()');

如上代碼，并沒有成功結(jié)束掉宿主程序，vm2 官方 REAME 中說「vm2 是一個沙盒，可以在 Node.js 中按全的執(zhí)行不受信任的代碼」。

然而，事實上我們還是可以干一些「壞」事情，比如：

const { VM } = require('vm2');
const vm = new VM({ timeout: 1000, sandbox: {}});
vm.run('new Promise(()=>{})');

上邊的代碼將永遠(yuǎn)不會執(zhí)行結(jié)束，如同 Node.js 內(nèi)建模塊一樣 vm2 的 timeout 對異步操作是無效的。同時，vm2 也不能額外通過一個 timer 去檢查超時，因為它也沒有辦法將執(zhí)行中的 vm 終止掉。這會一點點耗費(fèi)完服務(wù)器的資源，讓你的應(yīng)用掛掉。

那么或許你會想，我們能不能在上邊的 sandbox 中放一個假的 Promise 從而禁掉 Promise 呢？答案是能提供一個「假」的 Promise，但卻沒有辦法完成禁掉 Promise，比如

const { VM } = require('vm2');
const vm = new VM({ 
 timeout: 1000, sandbox: { Promise: function(){}}
});
vm.run('Promise = (async function(){})().constructor;new Promise(()=>{});');

可以看到通過一行 Promise = (async function(){})().constructor 就可以輕松再次拿到 Promise 了。從另一個層面來看，況且或許有時我們還想讓自定義腳本支持異步處理呢。

如何建立一個更安全一些的沙箱？

通過上文的探究，我們并沒有找到一個完美的方案在 Node.js 建立安全的隔離的沙箱。其中 vm2 做了不少處理，相對來講算是較安全的方案了，但問題也很明顯，比如異步不能檢查超時的問題、和宿主程序在相同進(jìn)程的問題。

沒有進(jìn)程隔離時，通過 VM 創(chuàng)建的 sanbox 大體是這樣的

那么，我們是不是可以嘗試，將非受信代碼，通過 vm2 這個模塊隔離在一個獨(dú)立的進(jìn)程中執(zhí)行呢？然后，執(zhí)行超時時，直接將隔離的進(jìn)程干掉，但這里我們需要考慮如下幾個問題

通過進(jìn)程池統(tǒng)調(diào)度管理沙箱進(jìn)程

如果來一個執(zhí)行任務(wù)，創(chuàng)建一個進(jìn)程，用完銷毀，僅處理進(jìn)程的開銷就已經(jīng)稍大了，并且也不能不設(shè)限的開新進(jìn)程和宿主應(yīng)用搶資源，那么，需要建一個進(jìn)程池，所有任務(wù)到來會創(chuàng)建一個 Script 實例，先進(jìn)入一個 pending 隊列，然后直接將 script 實例的 defer 對象返回，調(diào)用處就能 await 執(zhí)行結(jié)果了，然后由 sandbox master 根據(jù)工程進(jìn)程的空閑程序來調(diào)度執(zhí)行，master 會將 script 的執(zhí)行信息，包括重要的 ScriptId，發(fā)送給空閑的 worker，worker 執(zhí)行完成后會將「結(jié)果 + script 信息」回傳給 master，master 通過 ScriptId 識別是哪個腳本執(zhí)行完畢了，就是結(jié)果進(jìn)行 resolve 或 reject 處理。

這樣，通過「進(jìn)程池」即能降低「進(jìn)程來回創(chuàng)建和銷毀的開銷」，也能確保不過度搶占宿主資源，同時，在異步操作超時，還能將工程進(jìn)程直接殺掉，同時，master 將發(fā)現(xiàn)一個工程進(jìn)程掛掉，會立即創(chuàng)建替補(bǔ)進(jìn)程。

處理的數(shù)據(jù)和結(jié)果，還有公開給沙箱的方法

進(jìn)程間如何通訊，需要「動態(tài)代碼」處理數(shù)據(jù)可以直接序列化后通過 IPC 發(fā)送給隔離 Sandbox 進(jìn)程，執(zhí)行結(jié)果一樣經(jīng)過序列化通過 IPC 傳輸。

其中，如果想法公開一個方法給 sandbox，因為不在一個進(jìn)程，并不能方便的將一個方案的引用傳遞給 sandbox。我們可以將宿主的方法，在傳遞給 sandbox worker 之類做一下處理，轉(zhuǎn)換為一個「描述對象」，包括了允許 sandbox 調(diào)用的方法信息，然后將信息，如同其它數(shù)據(jù)一樣發(fā)送給 worker 進(jìn)程，worker 收到數(shù)據(jù)后，識出來所「方法描述對象」，然后在 worker 進(jìn)程中的 sandbox 對象上建立代理方法，代理方法同樣通過 IPC 和 master 通訊。

最終，我們建立了一個大約這樣的「沙箱環(huán)境」

如此這般處理起來是不是感覺很麻煩？但我們就有了一個更加安全一些的沙箱環(huán)境了，這些處理。筆者已經(jīng)基于 TypeScript 編寫，并封裝為一個獨(dú)立的模塊 Safeify。

GitHub: https://github.com/Houfeng/safeify，歡迎 Star & Issues

最后，簡單介紹一下 Safeify 如何使用，通過如下命令安裝

npm i safeify --save

在應(yīng)用中使用，還是比較簡單的，如下代碼（TypeScript 中類似）

import { Safeify } from './Safeify';

const safeVm = new Safeify({
 timeout: 50,     //超時時間，默認(rèn) 50ms
 asyncTimeout: 500,  //包含異步操作的超時時間，默認(rèn) 500ms
 quantity: 4      //沙箱進(jìn)程數(shù)量，默認(rèn)同 CPU 核數(shù)
});

const context = {
 a: 1, 
 b: 2,
 add(a, b) {
  return a + b;
 }
};

const rs = await safeVm.run(`return add(a,b)`, context);
console.log('result',rs);

關(guān)于安全的問題，沒有最安全，只有更安全，Safeify 已在一個項目中使用，但自定義腳本的功能是僅針對內(nèi)網(wǎng)用戶，有不少動態(tài)執(zhí)行代碼的場景其實是可以避免的，繞不開或?qū)嵲谛枰峁┻@個功能時，希望本文或 Safeify 能對大家有所幫助就行了。

最新評論