真实的国产乱ⅩXXX66竹夫人,五月香六月婷婷激情综合,亚洲日本VA一区二区三区,亚洲精品一区二区三区麻豆

成都創(chuàng)新互聯(lián)網(wǎng)站制作重慶分公司

Node.js中沙箱環(huán)境的示例分析

這篇文章給大家分享的是有關(guān)Node.js中沙箱環(huán)境的示例分析的內(nèi)容。小編覺(jué)得挺實(shí)用的,因此分享給大家做個(gè)參考,一起跟隨小編過(guò)來(lái)看看吧。

創(chuàng)新互聯(lián)云計(jì)算的互聯(lián)網(wǎng)服務(wù)提供商,擁有超過(guò)13年的服務(wù)器租用、四川電信機(jī)房托管、云服務(wù)器、雅安服務(wù)器托管、網(wǎng)站系統(tǒng)開(kāi)發(fā)經(jīng)驗(yàn),已先后獲得國(guó)家工業(yè)和信息化部頒發(fā)的互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)許可證。專業(yè)提供云主機(jī)、雅安服務(wù)器托管、域名注冊(cè)、VPS主機(jī)、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

node官方文檔里提到node的vm模塊可以用來(lái)做沙箱環(huán)境執(zhí)行代碼,對(duì)代碼的上下文環(huán)境做隔離。

\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.

先看一個(gè)例子

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; a + b;', {a});
console.log(result);  // 5
console.log(a);     // 1
console.log(typeof b); // undefined

沙箱環(huán)境中執(zhí)行的代碼對(duì)于外部代碼沒(méi)有產(chǎn)生任何影響,無(wú)論是新聲明的變量b,還是重新賦值的變量a。 注意最后一行的代碼默認(rèn)會(huì)被加上return關(guān)鍵字,因此無(wú)需手動(dòng)添加,一旦添加的話不會(huì)靜默忽略,而是執(zhí)行報(bào)錯(cuò)。

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b);

如下所示

evalmachine.:1
var b = 2; a = 3; return a + b;
         ^^^^^^

SyntaxError: Illegal return statement
  at new Script (vm.js:74:7)
  at createScript (vm.js:246:10)
  at Object.runInNewContext (vm.js:291:10)
  at Object. (/Users/xiji/workspace/learn/script.js:3:17)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)

除了runInNewContext外,vm還提供了runInThisContext和runInContext兩個(gè)方法都可以用來(lái)執(zhí)行代碼 runInThisContext無(wú)法指定context

const vm = require('vm');
let localVar = 'initial value';
const vmResult = vm.runInThisContext('localVar += "vm";');
console.log('vmResult:', vmResult);
console.log('localVar:', localVar);
console.log(global.localVar);

由于無(wú)法訪問(wèn)本地的作用域,只能訪問(wèn)到當(dāng)前的global對(duì)象,因此上面的代碼會(huì)因?yàn)檎也坏絣ocalVal而報(bào)錯(cuò)

evalmachine.:1
localVar += "vm";
^

ReferenceError: localVar is not defined
  at evalmachine.:1:1
  at Script.runInThisContext (vm.js:91:20)
  at Object.runInThisContext (vm.js:298:38)
  at Object. (/Users/xiji/workspace/learn/script.js:3:21)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)

如果我們把要執(zhí)行的代碼改成直接賦值的話就可以正常運(yùn)行了,但是也產(chǎn)生了全局污染(全局的localVar變量)

const vm = require('vm');
let localVar = 'initial value';
const vmResult = vm.runInThisContext('localVar = "vm";');
console.log('vmResult:', vmResult);  // vm
console.log('localVar:', localVar);  // initial value
console.log(global.localVar);     // vm

runInContext在傳入context參數(shù)上與runInNewContext有所區(qū)別 runInContext傳入的context對(duì)象不為空而且必須是經(jīng)vm.createContext()處理過(guò)的,否則會(huì)報(bào)錯(cuò)。 runInNewContext的context參數(shù)是非必須的,而且無(wú)需經(jīng)過(guò)vm.createContext處理。 runInNewContext和runInContext因?yàn)橛兄付╟ontext,所以不會(huì)向runInThisContext那樣產(chǎn)生全局污染(不會(huì)產(chǎn)生全局的localVar變量)

const vm = require('vm');
let localVar = 'initial value';
const vmResult = vm.runInNewContext('localVar = "vm";');
console.log('vmResult:', vmResult);  // vm
console.log('localVar:', localVar);  // initial value
console.log(global.localVar);     // undefined

當(dāng)需要一個(gè)沙箱環(huán)境執(zhí)行多個(gè)腳本片段的時(shí)候,可以通過(guò)多次調(diào)用runInContext方法但是傳入同一個(gè)vm.createContext()返回值實(shí)現(xiàn)。

超時(shí)控制及錯(cuò)誤捕獲

vm針對(duì)要執(zhí)行的代碼提供了超時(shí)機(jī)制,通過(guò)指定timeout參數(shù)即可以runInThisContext為例

const vm = require('vm');
let localVar = 'initial value';
const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', { timeout: 1000});
vm.js:91
   return super.runInThisContext(...args);
          ^

Error: Script execution timed out.
  at Script.runInThisContext (vm.js:91:20)
  at Object.runInThisContext (vm.js:298:38)
  at Object. (/Users/xiji/workspace/learn/script.js:3:21)
  at Module._compile (internal/modules/cjs/loader.js:678:30)
  at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
  at Module.load (internal/modules/cjs/loader.js:589:32)
  at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
  at Function.Module._load (internal/modules/cjs/loader.js:520:3)
  at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
  at startup (internal/bootstrap/node.js:228:19)

可以通過(guò)try catch來(lái)捕獲代碼錯(cuò)誤

const vm = require('vm');
let localVar = 'initial value';
try { 
  const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {
    timeout: 1000
  });
} catch(e) { 
  console.error('executed code timeout');
}

延遲執(zhí)行

vm除了即時(shí)執(zhí)行代碼之外,也可以先編譯然后過(guò)一段時(shí)間再執(zhí)行,這就需要提到vm.Script了。其實(shí)無(wú)論是runInNewContext、runInThisContext還是runInThisContext,背后其實(shí)都創(chuàng)建了Script,從之前的報(bào)錯(cuò)信息就可以看出來(lái) 接下來(lái)我們就用vm.Script來(lái)重寫本文開(kāi)頭的例子

const vm = require('vm');
let a = 1;
var script = new vm.Script('var b = 2; a = 3; a + b;');
setTimeout(() => { 
  let result = script.runInNewContext({a}); 
  console.log(result);   // 5 
  console.log(a);     // 1 
  console.log(typeof b);  // undefined
}, 300);

除了vm.Script,node在9.6版本中新增了vm.Module也可以做到延遲執(zhí)行,vm.Module主要用來(lái)支持ES6 module,而且它的context在創(chuàng)建的時(shí)候就已經(jīng)綁定好了,關(guān)于vm.Module目前還需要在命令行使用flag來(lái)啟用支持

node --experimental-vm-module index.js

vm作為沙箱環(huán)境安全嗎?

vm相對(duì)于eval來(lái)說(shuō)更安全一些,因?yàn)樗綦x了當(dāng)前的上下文環(huán)境了,但是盡管如此依然可以訪問(wèn)標(biāo)準(zhǔn)的JS API和全局的NodeJS環(huán)境,因此vm并不安全,這個(gè)在官方文檔里就提到了

The vm module is not a security mechanism. Do not use it to run untrusted code

請(qǐng)看下面的例子

const vm = require('vm');
vm.runInNewContext("this.constructor.constructor('return process')().exit()")
console.log("The app goes on...") // 永遠(yuǎn)不會(huì)輸出

為了避免上面這種情況,可以將上下文簡(jiǎn)化成只包含基本類型,如下所示

let ctx = Object.create(null);
ctx.a = 1; // ctx上不能包含引用類型的屬性
vm.runInNewContext("this.constructor.constructor('return process')().exit()", ctx);

針對(duì)原生vm存在的這個(gè)問(wèn)題,有人開(kāi)發(fā)了vm2包,可以避免上述問(wèn)題,但是也不能說(shuō)vm2就一定是安全的

const {VM} = require('vm2');
new VM().run('this.constructor.constructor("return process")().exit()');

雖然執(zhí)行上述代碼沒(méi)有問(wèn)題,但是由于vm2的timeout對(duì)于異步代碼不起作用,所以下面的代碼永遠(yuǎn)不會(huì)執(zhí)行結(jié)束。

const { VM } = require('vm2');
const vm = new VM({ timeout: 1000, sandbox: {}});
vm.run('new Promise(()=>{})');

即使希望通過(guò)重新定義Promise的方式來(lái)禁用Promise的話,還是一個(gè)可以繞過(guò)的

const { VM } = require('vm2');
const vm = new VM({ 
 timeout: 1000, sandbox: { Promise: function(){}}
});
vm.run('Promise = (async function(){})().constructor;new Promise(()=>{});');

感謝各位的閱讀!關(guān)于“Node.js中沙箱環(huán)境的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,讓大家可以學(xué)到更多知識(shí),如果覺(jué)得文章不錯(cuò),可以把它分享出去讓更多的人看到吧!


名稱欄目:Node.js中沙箱環(huán)境的示例分析
當(dāng)前地址:http://weahome.cn/article/igoooc.html

其他資訊

在線咨詢

微信咨詢

電話咨詢

028-86922220(工作日)

18980820575(7×24)

提交需求

返回頂部