探索VM.js:在浏览器中运行任意代码的安全沙箱

于 2024-04-19 09:49:34 发布
阅读量484 收藏 8
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00098/article/details/137952813
版权

探索VM.js:在浏览器中运行任意代码的安全沙箱

vm.jsJavascript 解释器. Javascript Interpreter项目地址:https://gitcode.com/gh_mirrors/vm/vm.js

在开发Web应用时,有时我们需要执行用户提供的JavaScript代码,但这会带来安全风险。为了解决这个问题,让我们一起深入了解,一个由@axetroy创建的轻量级、高效且安全的浏览器端JavaScript虚拟机。

项目简介

VM.js是一个符合ECMAScript规范的轻量级虚拟机实现,它允许你在浏览器环境中安全地运行和隔离JavaScript代码。通过提供一个沙箱环境,VM.js确保了你的主应用程序不会受到不安全或恶意代码的影响。

技术分析

沙箱执行

VM.js的核心特性是其内置的沙箱机制。它将代码执行限制在一个特定的上下文中,避免了全局变量污染和其他潜在的安全问题。这意味着即使运行的代码试图修改或访问你的应用程序数据,这些操作也会被阻止,从而保护了你的应用安全。

性能优化

尽管VM.js提供了强大的安全功能,但它并没有牺牲性能。通过高效的代码解析和执行,VM.js能够在保持安全性的前提下,尽可能接近原生JavaScript引擎的性能。

API设计

VM.js提供了一个简单易用的API接口,使开发者能够轻松地创建和执行JavaScript脚本。例如:

import VM from 'vm';

const vm = new VM();
const result = await vm.run('console.log("Hello, World!");');

这个例子展示了如何创建一个新的VM实例并运行一段简单的代码。

应用场景

  • 在线代码编辑器:允许用户编写、测试和运行JavaScript代码,而不用担心他们的代码可能对你的网站造成损害。
  • 动态执行:当需要根据服务器返回的数据动态生成和执行JavaScript时,可以使用VM.js进行安全处理。
  • 插件系统:构建一个插件系统,允许第三方开发者贡献代码,但又不需要完全信任他们。

特点

  1. 浏览器兼容:VM.js适用于现代浏览器,包括Chrome、Firefox、Safari和Edge。
  2. 模块支持:支持CommonJS和ES6模块语法。
  3. 错误处理:能够捕获并报告执行过程中的错误。
  4. 资源控制:可以通过设置限制(如内存使用),进一步增强安全性。

结论

对于任何需要在浏览器环境中安全运行用户代码的应用来说,VM.js都是一个值得考虑的解决方案。其强大的沙箱功能、良好的性能和简洁的API使得它成为Web开发者的得力工具。立即探索,为你的项目添加安全的代码执行能力吧!

如果你有任何问题或建议,欢迎在项目的GitHub仓库上提出讨论,共同推进这个项目的成长。

vm.jsJavascript 解释器. Javascript Interpreter项目地址:https://gitcode.com/gh_mirrors/vm/vm.js

曹俐莉
关注
5.4. JavaScript
Sumarua的博客
07-07 1449
内容索引:5.4. JavaScript5.4.1. ECMAScript5.4.1.1. 简介5.4.1.2. 版本5.4.1.3. ES6 特性5.4.2. 引擎5.4.2.1. V85.4.2.2. SpiderMonkey5.4.2.3. JavaScriptCore5.4.2.4. ChakraCore5.4.2.5. JScript5.4.2.6. JerryScript5.4.3. WebAssembly5.4.3.1. 简介5.4.3.2. 执行5.4.3.3. 安全5.4.4. 作用域与闭
浏览器JS系列(一)JS引擎,JS虚拟机,JS运行时(1)
webwhite的博客
08-02 1374
  学前端做前端有一段时间了,但至今学得越多就觉得不会的也越多。同时知识越来越杂乱,没有结构,难以管理。所以虽然杂七杂八知道一些,但还是感觉很不扎实。受最近看的一篇文章的启发,决定写一个系列的文章用于总结所学。那篇文章是以我的水平,目前所看到的,最为全面的梳理前端知识结构的博文。十分感谢原作者的总结和分享,因他的启发,我对前端的知识脉络有了大致的认识。   在此先放上原文的链接:从浏览器多进程到...
【学习心得】浏览器开发者工具出现的VM开头的JS文件是什么?
最新发布
qq_39780701的博客
03-01 1358
VM文件到底是什么?“VM”表示的是Virtual Machine(虚拟机),这些文件通常表示由浏览器生成和执行的虚拟机脚本环境的临时脚本。这些脚本并不是项目源代码的一部分,也不是实际存在的物理文件。它们在浏览器的内存创建并执行。
说说浏览器沙箱机制
weixin_34405557的博客
03-23 479
黑客会在网页插入一段恶意代码,然后利用浏览器漏洞来执行任意代码,这就叫做 “挂马”。它是浏览器所面对的一种主要的威胁。 浏览器为了应对 “挂马” 威胁,从单进程架构转变为多进程架构。浏览器的多进程架构,会分开浏览器的各个功能模块。这样当一个浏览器进程崩溃时,也不会影响到其他的浏览器进程。 Chrome 浏览器是第一个采用多进程(Multiprocessing)架构的浏览器:这个架构能容许多个程...
浏览器沙箱模型
weixin_30633507的博客
04-05 575
简介   沙箱模型技术是浏览器和其他应用程序保护安全的一种组件关系设计模式,最初发明人为GreenBorder公司。2007年5月,谷歌公司收购了该公司,也将此项专利应用于chrome浏览器的研发。 背景   一般而言,对于网络上的网页的JavaScript代码和插件都是不受信的(除非是经过认证的网站),特别是一些故意设计侵入浏览器运行的主机代码更是非常危险,通过一些手段或者浏览...
浏览器安全沙箱
weixin_43605299的博客
02-10 350
一、概要:浏览器安全可以分为三大块 — Web页面安全浏览器网络安全浏览器系统安全 二、从安全的角度看待,为什么浏览器要从单进程发展 ? 对于单进程应用,即整个浏览器只有一个进程。当浏览器出现一些重要的漏洞时,黑客可以直接攻击操作系统,获取操作系统的用户信息。这毫无疑问是 “核弹” 级别的漏洞。 对于多进程架构的浏览器。即使出现漏洞,那么黑客也只能攻击到渲染进程。而浏览器内核还是安全的。 三、 浏览器安全沙箱:目标 将渲染进程和操作系统隔离。 关键思想是 将安全的操作在浏览器内核进行,不安
浏览器安全策略
m0_51227834的博客
01-03 395
域名、协议、端口相同。本域脚本只能读写本域内的资源,而无法访问其他域的资源。(这里的脚本指的是JavaScript)使用白名单,通过编码在HTTP响应头的指令来实施策略。通过设置几个字段值来保证安全
高级前端进阶:我是如何把 C/C++ 代码跑在浏览器上的?
m0_61544080的博客
10-12 1671
最近组长交给我一个任务,让我尝试一下将知名视频转码库 ffmpeg (使用 C 编写)跑在浏览器里面,我当时就懵了,还能这么玩?调研了一番,发现有个叫 WebAssembly 的东西可以干这么件事情,于是就有了这篇文章。 什么是 WebAssembly? 一种新型的代码,可以运行在 Web 浏览器,提供一些新特性并主要专注于高性能 主要不是用于写,而是 C/C++、C#、Rust 等语言编译的目标,所以你即使不知道如何编写 WebAssembly 代码也能利用它的优势 其他语言编写的代码也能以近似于原生
规避Python动态运行陷阱:避免代码执行的常见错误
![规避Python动态运行陷阱:避免代码执行的常见错误]...在利用Python的动态运行功能时,开发人员必须意识到潜在的陷阱和安全风险。本章将探讨常见的动态运行陷阱,并提供缓解措施以确保代码
Node.js高级编程【一】node 基础
weixin_37883657的博客
12-10 2031
Node 基础 1、课程概述 Node.js可以做什么 ? 2、Node.js 架构 Native modules Builtin modules "胶水层" 底层 3、为什么是Node.js ? Node 慢慢演化为一门服务端“语言” IO 是计算过程操作过程最缓慢的环节 Reactor 模式,单线程完成多线程工作 Reactor 模式下实现异步IO、事件驱动 Node.js 更适用于 IO 密集型高并发请求 4、Node.js 的 异步...
毒代理pac !带有网络安全漏洞的NPM包…
TrustAsia的博客
09-24 1368
不久前,独立软件开发人员 Tim Perry,用于拦截和调试 Web 流量的HTTP 工具包的创建者决定为他的产品添加代理支持,就像现在的许多软件一样,它是使用Node.js. ICYMINode.js是一个项目,它将 JavaScript 语言从您的浏览器分离出来,并将其本身变成了一个成熟的应用程序开发系统,有点像 Java(顺便说一下,它与 JavaScript 无关,因为所有名称听起来很像)。 除了使用谷歌 Chromium 项目的 V8 JavaScript 引擎的 JavaScrip
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3121
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行在 Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM安全问题。 ..
js vm报错,SyntaxError:createScript处的无效或意外令牌(vm.js:80:10)
weixin_31937319的博客
01-17 2997
I've just arted to learn node, and when executing a very simple app from a powershell terminal:node app.jsI am getting the following exception:SyntaxError: Invalid or unexpected tokenat createScript (...
Chrome浏览器调试时进入[VM]前缀的js文件,断点无效
nann-viiv 的博客
07-31 4329
如标题: 搜了很多博客,最终解决的是点击上面的两个按钮, 尴尬的是忘记最终点哪个成功了, 如果下次再遇到,会回来更新解决方法。。。
js高程 浏览器 vm
qq_32265719的博客
11-08 240
js dom // Node // nodeType=1 元素节点 nodeType=2 属性节点 nodeType=3 文本节点 // nodeName 元素节点名称 // childNodes[0] 元素子节点集合 // console.log(document.nodeType); // console....
JSVM的安装与运行
qq_41895113的博客
06-03 2683
Jsvm的安装稍简单,只需要将jsvm文件夹拷贝进虚拟机,再进行make就好了。具体操作如下:找到JSVM文件夹,将文件全部复制到虚拟机 打开终端,进入jsvm->JSVM->H264Extension->build->linux,进行make 这样就安装好了编码尝试首先尝试单层编码模式,回到jsvm目录下,进入bin文件夹,新建文档,我命名为one_level.cfg,打...
chrome自动进入VM模式无法调试
xiaosa_FB的博客
12-19 5918
最近在调试时出现一种情况,死活不能设置断点,也不能跟踪调试,这下抓狂了。 JS也是非常简单的,也没有压缩。为什么就不能调试呢? 网上狂搜也没找到什么原因,经过自己一翻瞎折腾,终于解决问题 在调试的左下方有一个{}图标,提示“pretty print”,点击,chrome就会另外打开一个:formatted的文件,在里面就可以调试了。 原因估计是chr
chrome浏览器开发者工具sourcesVM+数字
Make
04-06 3994
Chrome是一款基于Webkit内核的浏览器。 Webkit原先使用的JS引擎叫做JavaScriptCore,是一种纯粹的解释型引擎,速度较慢(这个慢仅仅相对于后面介绍的V8引擎,但是和同时期流行的Trident内核的IE、Gecko内核的Mozilla进行比较快了不是一点点)。Chromium小组从Webkit代码fork出一个分支,加入了自己的JS引擎V8,成为了Chrome浏览器。 V...
Node.js VM模块
司马懿的西山居
09-29 7292
vm模块在V8虚拟机上下文提供了编译和运行代码的API
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曹俐莉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值