欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

淺談Node.js 沙箱環(huán)境

 更新時間:2018年05月15日 09:31:42   作者:Randal  
本篇文章主要介紹了Node.js 沙箱環(huán)境 ,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧

node官方文檔里提到node的vm模塊可以用來做沙箱環(huán)境執(zhí)行代碼,對代碼的上下文環(huán)境做隔離。

\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.

先看一個例子

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; a + b;', {a});
console.log(result);  // 5
console.log(a);     // 1
console.log(typeof b); // undefined

沙箱環(huán)境中執(zhí)行的代碼對于外部代碼沒有產(chǎn)生任何影響,無論是新聲明的變量b,還是重新賦值的變量a。 注意最后一行的代碼默認(rèn)會被加上return關(guān)鍵字,因此無需手動添加,一旦添加的話不會靜默忽略,而是執(zhí)行報錯。

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b);

如下所示

evalmachine.<anonymous>:1
var b = 2; a = 3; return a + b;
         ^^^^^^

SyntaxError: Illegal return statement
  at new Script (vm.js:74:7)
  at createScript (vm.js:246:10)
  at Object.runInNewContext (vm.js:291:10)
  at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:17)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)

除了runInNewContext外,vm還提供了runInThisContext和runInContext兩個方法都可以用來執(zhí)行代碼 runInThisContext無法指定context

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar += "vm";');
console.log('vmResult:', vmResult);
console.log('localVar:', localVar);
console.log(global.localVar);

由于無法訪問本地的作用域,只能訪問到當(dāng)前的global對象,因此上面的代碼會因為找不到localVal而報錯

evalmachine.<anonymous>:1
localVar += "vm";
^

ReferenceError: localVar is not defined
  at evalmachine.<anonymous>:1:1
  at Script.runInThisContext (vm.js:91:20)
  at Object.runInThisContext (vm.js:298:38)
  at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)

如果我們把要執(zhí)行的代碼改成直接賦值的話就可以正常運行了,但是也產(chǎn)生了全局污染(全局的localVar變量)

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar = "vm";');
console.log('vmResult:', vmResult);  // vm
console.log('localVar:', localVar);  // initial value
console.log(global.localVar);     // vm

runInContext在傳入context參數(shù)上與runInNewContext有所區(qū)別 runInContext傳入的context對象不為空而且必須是經(jīng)vm.createContext()處理過的,否則會報錯。 runInNewContext的context參數(shù)是非必須的,而且無需經(jīng)過vm.createContext處理。 runInNewContext和runInContext因為有指定context,所以不會向runInThisContext那樣產(chǎn)生全局污染(不會產(chǎn)生全局的localVar變量)

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInNewContext('localVar = "vm";');
console.log('vmResult:', vmResult);  // vm
console.log('localVar:', localVar);  // initial value
console.log(global.localVar);     // undefined

當(dāng)需要一個沙箱環(huán)境執(zhí)行多個腳本片段的時候,可以通過多次調(diào)用runInContext方法但是傳入同一個vm.createContext()返回值實現(xiàn)。

超時控制及錯誤捕獲

vm針對要執(zhí)行的代碼提供了超時機制,通過指定timeout參數(shù)即可以runInThisContext為例

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', { timeout: 1000});

vm.js:91
   return super.runInThisContext(...args);
          ^

Error: Script execution timed out.
  at Script.runInThisContext (vm.js:91:20)
  at Object.runInThisContext (vm.js:298:38)
  at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
  at startup (internal/bootstrap/node.js:228:19)

可以通過try catch來捕獲代碼錯誤

const vm = require('vm');
let localVar = 'initial value';​
try { 
  const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {
    timeout: 1000
  });
} catch(e) { 
  console.error('executed code timeout');
}

延遲執(zhí)行

vm除了即時執(zhí)行代碼之外,也可以先編譯然后過一段時間再執(zhí)行,這就需要提到vm.Script了。其實無論是runInNewContext、runInThisContext還是runInThisContext,背后其實都創(chuàng)建了Script,從之前的報錯信息就可以看出來 接下來我們就用vm.Script來重寫本文開頭的例子

const vm = require('vm');
let a = 1;
var script = new vm.Script('var b = 2; a = 3; a + b;');
setTimeout(() => { 
  let result = script.runInNewContext({a}); 
  console.log(result);   // 5 
  console.log(a);     // 1 
  console.log(typeof b);  // undefined
}, 300);

除了vm.Script,node在9.6版本中新增了vm.Module也可以做到延遲執(zhí)行,vm.Module主要用來支持ES6 module,而且它的context在創(chuàng)建的時候就已經(jīng)綁定好了,關(guān)于vm.Module目前還需要在命令行使用flag來啟用支持

node --experimental-vm-module index.js

vm作為沙箱環(huán)境安全嗎?

vm相對于eval來說更安全一些,因為它隔離了當(dāng)前的上下文環(huán)境了,但是盡管如此依然可以訪問標(biāo)準(zhǔn)的JS API和全局的NodeJS環(huán)境,因此vm并不安全,這個在官方文檔里就提到了

The vm module is not a security mechanism. Do not use it to run untrusted code

請看下面的例子

const vm = require('vm');
vm.runInNewContext("this.constructor.constructor('return process')().exit()")
console.log("The app goes on...") // 永遠(yuǎn)不會輸出

為了避免上面這種情況,可以將上下文簡化成只包含基本類型,如下所示

let ctx = Object.create(null);
ctx.a = 1; // ctx上不能包含引用類型的屬性
vm.runInNewContext("this.constructor.constructor('return process')().exit()", ctx);

針對原生vm存在的這個問題,有人開發(fā)了vm2包,可以避免上述問題,但是也不能說vm2就一定是安全的

const {VM} = require('vm2');
new VM().run('this.constructor.constructor("return process")().exit()');

雖然執(zhí)行上述代碼沒有問題,但是由于vm2的timeout對于異步代碼不起作用,所以下面的代碼永遠(yuǎn)不會執(zhí)行結(jié)束。

const { VM } = require('vm2');
const vm = new VM({ timeout: 1000, sandbox: {}});
vm.run('new Promise(()=>{})');

即使希望通過重新定義Promise的方式來禁用Promise的話,還是一個可以繞過的

const { VM } = require('vm2');
const vm = new VM({ 
 timeout: 1000, sandbox: { Promise: function(){}}
});
vm.run('Promise = (async function(){})().constructor;new Promise(()=>{});');

以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • Node.js使用SQLite數(shù)據(jù)庫方法大全

    Node.js使用SQLite數(shù)據(jù)庫方法大全

    Node.js是一種流行的JavaScript運行時,提供了許多有用的模塊和庫來構(gòu)建Web應(yīng)用程序,而SQLite是一種嵌入式關(guān)系型數(shù)據(jù)庫,它可以運行在各種操作系統(tǒng)上,包括Windows、Linux和Mac OS X等,在Node.js中,可以通過安裝sqlite3模塊來訪問SQLite數(shù)據(jù)庫
    2023-10-10
  • 淺析Node.js 中 Stream API 的使用

    淺析Node.js 中 Stream API 的使用

    這篇文章給大家淺析node.js中stream api的使用,本文介紹的非常詳細(xì),涉及到node.js api,node.js stream相關(guān)知識,感興趣的朋友可以參考下
    2015-10-10
  • npm?install?XXX安裝路徑文件夾權(quán)限問題的解決過程

    npm?install?XXX安裝路徑文件夾權(quán)限問題的解決過程

    這篇文章主要給大家介紹了關(guān)于npm?install?XXX安裝路徑文件夾權(quán)限問題(npm?ERR!?The?operation?was?rejected?by?your?operating?system.errno?-4080)的解決過程,文中通過圖文介紹的非常詳細(xì),需要的朋友可以參考下
    2023-04-04
  • NodeJS讀取分析Nginx錯誤日志的方法

    NodeJS讀取分析Nginx錯誤日志的方法

    這篇文章主要介紹了NodeJS讀取分析Nginx錯誤日志的相關(guān)知識,本文給大家介紹的非常詳細(xì),具有一定的參考借鑒價值,需要的朋友可以參考下
    2019-05-05
  • Node中對非阻塞I/O、事件循環(huán)的知識點總結(jié)

    Node中對非阻塞I/O、事件循環(huán)的知識點總結(jié)

    在本篇文章里小編給大家整理的是一篇關(guān)于Node中對非阻塞I/O、事件循環(huán)的知識點分享內(nèi)容,需要的朋友們可以參考下。
    2020-01-01
  • 解決npm?i?報錯以及python安裝卡住的問題

    解決npm?i?報錯以及python安裝卡住的問題

    這篇文章主要介紹了解決npm?i?報錯以及python安裝卡住的問題,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-10-10
  • Node.js Express安裝與使用教程

    Node.js Express安裝與使用教程

    Express 是一個簡潔而靈活的 node.js Web應(yīng)用框架, 提供了一系列強大特性幫助你創(chuàng)建各種 Web 應(yīng)用,這篇文章主要介紹了Node.js Express安裝與使用教程,非常具有實用價值,需要的朋友可以參考下
    2018-05-05
  • mongodb初始化并使用node.js實現(xiàn)mongodb操作封裝方法

    mongodb初始化并使用node.js實現(xiàn)mongodb操作封裝方法

    這篇文章主要介紹了mongodb初始化并使用node.js實現(xiàn)mongodb操作封裝方法,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-04-04
  • npm?does?not?support?Node.js問題的解決辦法

    npm?does?not?support?Node.js問題的解決辦法

    這篇文章主要給大家介紹了關(guān)于npm?does?not?support?Node.js問題的解決辦法,文中通過代碼以及圖文介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2023-10-10
  • npm?install總是卡住不動問題的解決辦法

    npm?install總是卡住不動問題的解決辦法

    在我們安裝完Node.js之后,需要使用npm命令來安裝一些工具,下面這篇文章主要給大家介紹了關(guān)于npm?install總是卡住不動問題的解決辦法,需要的朋友可以參考下
    2022-05-05

最新評論