Node.js 沙箱环境

最新推荐文章于 2023-08-05 15:58:58 发布
最新推荐文章于 2023-08-05 15:58:58 发布
阅读量159 收藏 1
点赞数
文章标签: node.js javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GJ_ia/article/details/128660004
版权

node官方文档里提到node的vm模块可以用来做沙箱环境执行代码,对代码的上下文环境做隔离。

\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.

先看一个例子

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; a + b;', {a});
console.log(result);// 5
console.log(a); // 1
console.log(typeof b);// undefined

沙箱环境中执行的代码对于外部代码没有产生任何影响,无论是新声明的变量b,还是重新赋值的变量a。 注意最后一行的代码默认会被加上return关键字,因此无需手动添加,一旦添加的话不会静默忽略,而是执行报错。

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b);

如下所示

evalmachine.<anonymous>:1
var b = 2; a = 3; return a + b;^^^^^^

SyntaxError: Illegal return statementat new Script (vm.js:74:7)at createScript (vm.js:246:10)at Object.runInNewContext (vm.js:291:10)at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:17)at Module._compile (internal/modules/cjs/loader.js:678:30)at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)at Module.load (internal/modules/cjs/loader.js:589:32)at tryModuleLoad (internal/modules/cjs/loader.js:528:12)at Function.Module._load (internal/modules/cjs/loader
最低0.47元/天 解锁文章
GJ_ia
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodejs-沙箱
03-04
参考: : Nodejs沙箱 安装 打开cmd并输入'node -v'来检查您的计算机是否安装了nodejs。 如果不是,请在这里下载并安装Node js。 运行节点程序 转到您的项目目录,并在cmd中写入节点{ur_js_fileName} 创建服务器并侦听请求 const http = require('http'); // Create a server const server = http.createServer((req, res) => { console.log("Request is made!"); }); //listen for request server.listen(3000, 'localhost', ()=>{ console.log("Server is created!"); }); 返回回复 const http = requi
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
NodeJS沙箱
weixin_30834019的博客
01-28 116
NodeJS沙箱 转载于:https://www.cnblogs.com/motadou/archive/2013/01/28/2879960.html
浅谈Node.js 沙箱环境
01-01
node官方文档里提到node的vm模块可以用来做沙箱环境执行代码,对代码的上下文环境隔离。 \A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code. 先看一个例子 const vm = require('vm'); let a = 1; var result = vm.r
Node.js-Sandbox:我的 Node.JS 沙箱
06-20
欢迎来到 Node.js Gabriel 的沙箱! 这是我在这里使用的东西(每当我开始使用/学习一个新模块时,我都会更新这个部分): node.js (v0.12.0) npm (v2.5.1) 快递 (v4.12.0) mongoDB (v2.6.8) 猫鼬 (v3.8.24) 我已使用...
Node.js应用设置安全的沙箱环境
10-18
主要介绍了Node.js应用设置安全的沙箱环境的方法以及注意事项,对此有需要的朋友可以参考学习下。
nodesand:Node.JS沙箱入门应用程序
05-19
节点和Node.JS沙箱入门应用程序安装$> sudo apt-get install imagemagick graphicsmagick $> git clone $> cd节点和$> npm install 编辑config.js并添加您的S3凭据。 如果您没有S3帐户,则可以在免费创建1年帐户在...
nodejs-sandbox:对我和nodejs来说也是一个沙箱
02-14
nodejs-沙箱
Nodejs沙箱逃逸
m0_66022305的博客
08-03 229
我们在沙盒中定义一个函数并返回,在沙盒外这个函数被调用,那么此时的arguments.callee.caller就是沙盒外的这个调用者,我们再通过这个调用者拿到它的constructor等属性,就可以绕过沙箱了。在 JavaScript 中,this 关键字的值取决于函数的执行上下文。因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的。
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 1990
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
Node.js沙箱逃逸
shawdow_bug的博客
09-02 1770
什么是沙箱(sandbox) 在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境运行程序。通常情况下,在沙箱环境运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。 沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。 沙箱技术的实现 & node.js 沙箱技术按照设定的安全策略,限制不可信程序对系统资源的使用来实现,那么就要在访问系统资源之前将程序的系统调
Node.js 应用建立一个更安全的沙箱环境
qq_44005305的博客
02-13 337
在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚本,FireFox 的「油猴脚本」,能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情,扩展了能力,满足用户的个性化需求。与运行在「用户电脑中」的客户端应用不同,用户的自定义脚本通常只能影响用户自已,而对于在线的应用或服务来讲,有一些情况就变得更为重要,比如「安全」,用户的「自定义脚本」必须严格受到限制和隔离,即不能影响到宿主程序,也不能影响到其它用户。
Node.js8.0沙箱逃逸问题
qq_53099802的博客
06-02 354
Node.js8.0的buffer函数读取内存操作。
如何在node.js中避免命令行注入
一段曲折的旅程,一个艰难的人生
12-06 645
如何避免Nodejs中的命令行注入
NodeJS vm&vm2沙箱逃逸
最新发布
leekos的博客,分享web安全相关知识~
08-05 1263
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码沙箱运行只会对沙箱内部产生一些影响,不影响主机的功能。
Nodejs vm/vm2沙箱逃逸
qq_61768489的博客
04-13 2114
什么是沙箱沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。什么是VM:VM就是虚拟环境,虚拟机,VM的特点就是不受环境的影响,也可以说他就是一个 沙箱环境沙箱模式给模块提供一个环境运行而不影响其它模块和它们私有的沙箱)类似于docker,docker是属于 Sandbox(沙箱) 的一种。简而言之,vm提供了一个干净的独立环境,提供测试。
param.substring is not a function at evalmachine.<anonymous>:1:18
m0_46599017的博客
04-11 5854
针对这个问题,看看的输入的参数是否有中文的字符,类型双引号“” 改为英文""
浏览器中怎么使用node.js api
07-14
而浏览器中的 JavaScript 运行在浏览器的沙箱环境中,没有直接访问 Node.js API 的权限。 如果你需要在浏览器中使用类似于 Node.js 的功能,可以考虑使用一些专门为浏览器设计的 JavaScript 库或框架,比如 jQuery...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值