安全的JavaScript执行利器:Safe-Eval

于 2024-05-26 09:59:54 发布
阅读量418 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00097/article/details/139210922
版权

安全的JavaScript执行利器:Safe-Eval

在软件开发中,我们有时需要动态地执行一些JavaScript代码,但直接使用eval()函数可能会带来安全风险,因为它允许执行任意代码。为了解决这个问题,开源社区为我们提供了一个名为safe-eval的库,它让我们能够在控制的环境中执行JavaScript表达式,避免了eval()的潜在威胁。

项目简介

safe-eval是一个基于Node.js的库,其设计目标是为用户提供一个安全的方式来执行JavaScript表达式。通过限制代码可以访问的API和对象,safe-eval可以在不启用完全eval()功能的情况下工作。这个库利用了Node.js的vm模块,确保只有预定义的全局对象和方法对执行的代码可见。

技术分析

safe-eval的核心是它的同名函数,它接受三个参数:

  1. 代码(code):你需要执行的JavaScript表达式。
  2. 上下文(context):一个对象,其中的方法和属性将在代码中作为全局对象可用。
  3. 选项(options):一个用于配置虚拟机执行环境的对象,通常用来设置文件名等信息。

safe-eval默认不允许访问Node.js的API,除非你在上下文对象中明确指定。这大大增加了代码执行的安全性。

应用场景

  • 在服务器端渲染中,动态计算数据或者构建HTML片段。
  • 解析JSON字符串而不必担心JSON.parse()可能引发的错误。
  • 提供一个沙盒环境,让用户提交的代码在有限的范围内运行,如在线编程挑战平台。
  • 动态生成或修改配置,允许用户以脚本形式输入配置项,但又不能让他们访问敏感信息。

项目特点

  • 安全性:相比eval()safe-eval限制了执行代码的范围,只允许访问预设的API和对象,降低了代码注入攻击的风险。
  • 简单易用:API简洁明了,只需一行代码就能执行JavaScript表达式。
  • 灵活性:你可以自定义上下文环境,允许代码访问特定的全局对象和方法。
  • 广泛兼容safe-eval仅适用于Node.js环境,且要求执行的代码必须是一个表达式。

由于历史原因,safe-eval曾存在一个沙箱突破漏洞,但在版本0.4.0之后已得到修复。为了确保安全,建议始终更新到最新版本,并仅用于执行你信任的代码。

现在,你准备好尝试safe-eval了吗?只需npm install safe-eval --save,然后按照上面的示例开始编写你的安全执行代码吧!记住,尽管safe-eval提供了更安全的执行方式,但处理用户提供的代码时仍需谨慎,以免引入潜在的安全问题。

滑辰煦Marc
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1064
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
eval 函数非常危险
superkrissV的专栏
12-12 1080
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
安全牛学习笔记】SQLMAP自动注入(二)
edu_aqniu的博客
11-29 230
SQLMAP自动注入(二)-REQUEST和SQLMAP自动注入(三)-OPTIMIZATION SQLMAP自动注入02-----REQUEST --delay     每次http(s)请求之间延迟时间,浮点数,单位为秒,默认无延迟 --timeout     请求超时时间,浮点数,默认为30秒 --retries     http(s)连接超时重试次
unibot-safe-eval:UniBot 的安全评估插件
07-04
unibot-安全-评估 ...plugin [#channel] safe-eval 附: 记得重启你的UnitBot。 用法 下面是几个使用示例。 ~~2+2 ~~Math.random() ~~(function(name) { return 'hello, ' + name; })('foobar')
expr-eval:JavaScript中的数学表达式评估器
05-02
对于将JavaScripteval函数用于数学表达式,这是一种更安全,更面向数学的选择。 它具有对常见数学运算符和函数的内置支持。 此外,您可以添加自己JavaScript函数。 表达式可以直接求值,也可以编译成本地...
lldb-eval:lldb-eval是一个用于在调试器上下文中评估表达式的库
03-12
lldb-eval-出色的快速调试表达式评估什么lldb-eval是一个基于的库,用于在进程的上下文中评估调试表达式。 所有现代调试器都支持评估表达式以检查目标过程状态:打印出变量,访问成员字段等lldb-eval基本上是类似于...
前端开源库-safe-eval
08-30
8. 用户输入的脚本执行:在某些特殊场景下,如在线编程教育平台,用户可以编写并运行JavaScript代码,`safe-eval`可以在保证安全的前提下实现这一功能。 五、与其他库的比较 9. 与`vm`模块对比:Node.js的`vm`模块...
rank-eval-client-6.2.3-API文档-中英对照版.zip
07-12
赠送jar包:rank-eval-client-6.2.3.jar; 赠送原API文档:rank-eval-client-6.2.3-javadoc.jar; 赠送源代码:rank-eval-client-6.2.3-sources.jar; 赠送Maven依赖信息文件:rank-eval-client-6.2.3.pom; 包含...
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计
VisualSVN-VS2022
最新发布
07-20
VisualSVN-VS2022-8.0.5.vsix SVNVS插件,使用VS自带更新速度太慢,可下载后直接安装即可
基于PSO优化的BP神经网络训练与测试matlab仿真,包括程序,注释,参考文献,操作步骤
07-20
1.版本:matlab2022A。 2.包含:程序,中文注释,参考文献,仿真操作步骤(使用windows media player播放)。 3.领域:PSO优化的BP神经网络 4.仿真效果:仿真效果可以参考博客同名文章《基于PSO优化的BP神经网络训练与测试matlab仿真》 5.内容:基于PSO优化的BP神经网络训练与测试matlab仿真。粒子群优化(Particle Swarm Optimization, PSO)结合BP(Backpropagation)神经网络是一种常见的优化方法,用于提升神经网络的学习能力和泛化能力。PSO不仅帮助BP神经网络找到了一个较好的初始解,从而可能加快了训练过程并提高了最终模型的质量,而且还能探索到更广泛的解空间,有助于避免局部最优解。 6.注意事项:注意MATLAB左侧当前文件夹路径,必须是程序所在文件夹位置,具体可以参考视频录。
超详细讲C++cout语句
07-20
超详细讲C++cout语句,专门为C++初学者录制。
java基于ssm+jsp网络安全宣传网站系统源码 带毕业论文
07-20
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
java基于ssm+jsp奶茶店管理系统源码 带毕业论文
07-20
【资源说明】 1、开发环境:ssm框架;内含Mysql数据库;JSP技术 2、该资源包括项目的全部源码,下载可以直接使用! 3、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 4、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
[课设项目]Java-SSM框架开发框架的安全教育平台+vue+MySQL+前后端分离毕业论文和源码.zip
07-20
本项目是一个基于Java-SSM框架开发的安全教育平台,采用前后端分离的设计理念,前端使用Vue框架,后端则采用SSM框架进行搭建。项目旨在提供一个全面、安全的教育平台,以满足计算机相关专业学生毕业设计的需求,同时也为Java学习者提供实战练习的机会。 资源包中包含了完整的项目源码、数据库脚本以及详细的开发说明,更有论文参考,助力开发者顺利完成项目并可作为毕设作品提交。项目已历经严格的调试过程,确保在JDK、IDEA和Tomcat的开发环境下能够稳定运行。 对于有一定Java基础的学习者而言,这个项目不仅提供了一个现成的实战案例,更可以在其基础上进行创新和改进,实现更多个性化功能,从而提升技术水平和解决实际问题的能力。无论是毕业设计还是日常学习,这都是一个极具价值的资源。请放心下载使用,相信它会为你带来不少帮助。
【独家首发】Matlab实现减法平均优化算法SABO优化Transformer-BiLSTM实现负荷数据回归预测.rar
07-20
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
test.py: error: unrecognized arguments: --eval mAP
05-28
如果你在运行 `test.py` 时遇到了 `unrecognized arguments: --eval mAP` 的错误,可能是因为你的 mmdetection 版本较旧,不支持 `--eval mAP` 参数。 在较老版本的 mmdetection 中,可以通过在配置文件中添加以下代码来计算 mAP@0.5、mAP@0.75 等不同阈值下的 mAP: ``` # 在配置文件中添加以下代码 evaluation = dict( interval=1, metric='mAP', save_best='mAP', max_score=1.0, ap={ 'iou_thr': 0.5 }, use_sigmoid=False, classwise=True, jsonfile_prefix=None, ) ``` 在上述代码中,`ap` 参数指定了计算 mAP 的阈值。例如,`ap={'iou_thr': 0.5}` 表示计算 mAP@0.5,`ap={'iou_thr': 0.75}` 表示计算 mAP@0.75。 然后,在运行 `test.py` 时,不需要添加 `--eval mAP` 参数,只需要指定配置文件和权重文件即可,例如: ``` python tools/test.py <CONFIG_FILE> <CHECKPOINT_FILE> ``` 运行后,会在控制台输出 mAP@0.5 等不同阈值下的 mAP 值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

滑辰煦Marc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值