阿里云函数计算JS后端沙盒

最新推荐文章于 2024-07-12 16:19:19 发布
最新推荐文章于 2024-07-12 16:19:19 发布
阅读量139 收藏
点赞数
文章标签: 阿里云 javascript 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129332583
版权

本文纯属实验性质,如果有误请各位大佬指正。因使用本文所述的方法和技术所产生的安全风险,本文作者概不负责。

与上一篇介绍的前端沙盒相比,后端沙盒更加复杂而困难,安全风险也更高。当我们需要在服务端执行不受信任的动态代码时,往往我们需要限制代码对各种后端核心资源的访问权限,也需要限制执行代码的时间和空间。传统的方法通常是使用docker等隔离容器执行不受信任的代码,例如算法竞赛在线测评等,以此来实现对计算资源的精确控制和度量。

在本文中,我们介绍一种基于阿里云函数计算的JS后端沙盒。相比于传统的容器沙盒,函数计算沙盒更加简单容易,对于使用阿里云服务的应用平台也更加契合。

云函数

在阿里云函数计算服务中,创建一个新的服务和新的函数,选择基于事件的函数,不配置任何权限,不设置任何触发器

这样,当前函数就不具有阿里云账户的任何权限,在其中也无法访问任何受保护的资源。因为没有触发器,所以此函数仅可通过SDK触发,我们就可以在上层应用中控制执行。

您还可以通过配置函数的超时时间和内存大小来限制函数的执行能力。安全起见,请不要配置并发。

沙盒代码

在新创建的函数中写入以下代码:

const AsyncFunction = (async function () {}).constructor

exports.handler = async (event, context, callback) => {try {const payload = JSON.parse(event.toString())if (!payload.code) throw 'No Code'const f = new AsyncFunction('ctx', payload.code)const res = await f(payload.ctx)callback(null, { ok: 1, res })} catch (e) { callback(null, { ok: 0, err: e.toString() }) }
}

此事件函数接受一个JSON字符串,描述一个执行请求,包含一个代码字符串event.code和一个可以在代码中使用的参数对象event.ctx。通过创建AsyncFunction的方式实现动态代码执行,代码中可以使用await

调用执行

使用阿里云函数计算官方SDK github.com/aliyun/fc-n…

npm i @alicloud/fc2

在代码中,使用阿里云的账户密钥调用函数,并传入事件参数:

const FCClient = require('@alicloud/fc2')

const client = new FCClient('<account id>', {accessKeyID: '<access key id>',accessKeySecret: '<access key secret>',region: 'cn-shanghai'
})

// call function
resp = await client.invokeFunction(serviceName, funcName, JSON.stringify({code: 'return ctx.a + ctx.b',ctx: { a: 1, b: 2 }
})) 
```### 如何入门网络安全

#### 建议

多看书

阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。

现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书

当然纸上谈兵终觉浅,最好还是实践一下。

对于那些没有学习方向和资料的同学,可以看下我整理的资源,这份资料经历过社会的实践,可以说是当下全网较全的网络安全知识体系:
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

![在这里插入图片描述](https://img-blog.csdnimg.cn/bb231f9ba2ae4c538a62e1158a615d63.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/64ee2a70c4a84257acbf9bfd55f914ef.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/3896070a7676429aa4796b68caed2b66.png)

<img src="https://hnxx.oss-cn-shanghai.aliyuncs.com/official/1673601460401.png?t=0.5084107994384632" style="margin: auto" />
哈喽沃德er
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
阿里云ACA认证学习笔记
glisten0317的博客
11-04 1272
1. 云计算产生背景(1)信息时代的重大变革(2)数据量爆炸性增长(3)IT基础设施能耗计算机集群系统犹豫采用商用化部件,其能耗问题更为突出(4)服务器更新速度快企业升级费用昂贵如果购置大量的存储和计算设备,那么投资和维护费用会大大提高,同时低水平的利用率也会造成资源的巨大浪费(5)互联网上存在着大量处于闲置状态的计算设备和存储资源Google的数据表明其绝大部分服务器的利用率在10%到50%之间无法应对突发性的数据访问行为需求 推动、技术 进步、商业模式 变革。
私有的函数,沙箱,函数自执行
weixin_45494114的博客
05-15 375
私有函数,沙箱,沙箱实现案例,函数自执行
沙箱理解
weixin_40085027的博客
09-10 493
var pon = (function () { function f1(a, b) { console.log(a + b); } f1(10, 20); function f2(a, b) { console.log(a + b); } f2(19, 20); function f3(a, b) { console.log(a + b); } f3(40, 20); ...
前端高手进阶第30讲:前端热点技术之 Serverle
sucaiwa的博客
04-07 377
Serverless 是由“Server”和“less”两个单词组合而成,翻译成中文就是“无服务器”的意思,所谓无服务器并非脱离服务器的 Web 离线应用,也不是说前端页面绕过服务端直接读写数据库,而是开发者不用再考虑服务器环境搭建和维护等问题,只需要专注于开发即可。也就是说 Serverless 不是语言或框架,而是一种软件的部署方式。传统的应用需要部署在服务器或虚拟机上,安装运行环境之后以进程的方式启动,而使用 Serverless 则可以省略这个过程,直接使用云服务厂商提供的运行环境。
js高级04-- 沙箱模式、函数的4种调用模式(call()、apply())、构造函数的return关键字
muzidigbig的博客
07-02 2198
沙箱: &lt;script&gt; //沙箱 //与外界隔绝的一个环境,外界无法修改该环境内任何信息,沙箱内的东西单独属于一个世界 //360沙箱模式 //将软件和操作系统进行隔离,以达到安全的目的 //苹果手的app使用的就是沙箱模式去运行 //隔离app的空间,每个app独立运行 //JS中的沙箱模式 //沙箱模式的基...
阿里云服务API的试用
weixin_34072857的博客
08-17 114
1. 注册阿里云,并在API市场购买服务,在后台得到AppCode,这是钥匙 2. 以手机归属地查询举例,去调试 3. 提取样本数据-JSON格式,将其保存在txt文件中备用(给PHP用) 4. 打开JSON在线解析网站,解析样本数据,方便查看 5. 先在前端直接使用样本数据,JAVASCRIPT脚本文件中将上面的JSON数据赋值给变量,然后用JQuery和Boostrap...
【实战】Django从零搭建个人网站
m0_48943965的博客
06-04 8189
Django,零基础,网站,音乐
Salesforce开发入门指南:零基础学习宝典!
ziyouxia666的博客
07-04 724
相较其他行业,Salesforce领域的开发人员通常工作内容更广,其职责范围从基于代码的任务到需要一定商业敏锐度的工作。
阿里开源框架-2018年末
简单
05-01 722
开源展示了人类共同协作,成果分享的魅力,每一次技术发展都是站在巨人的肩膀上,技术诸多创新和发展往往就是基于开源发展起来的,没有任何一家网络公司可以不使用开源技术,仅靠自身技术而发展起来。阿里巴巴各个团队都是发自内心地将踩过的坑和总结的经验融入到开源项目中,供业界所有人使用,希望帮助他人解决问题。 云栖社区特在2018年年末,将阿里巴巴的一些重要的开源项目进行整理,希望对大家有所帮助。(以下项目排名...
区块链沙盒云白皮书v1.0
10-17
区块链沙盒云白皮书 v1.0
JS-Interpreter:JavaScript中的沙盒JavaScript解释器
03-03
**JS-Interpreter:JavaScript中的沙盒JavaScript解释器** 在JavaScript编程中,有时我们需要在一个安全的环境中执行不受信任的代码,防止其对主应用程序造成潜在的危害。这就是沙盒环境的作用,它提供了一种隔离...
泰山沙盒云产品技术实施案例介绍
10-17
泰山沙盒云产品技术实施案例 介绍
websandbox:HTML5沙盒iframe中用于Runnung javascript沙盒
05-10
沙盒 Websandbox库提供了一种在HTML5沙箱中执行不安全js代码的方法-具有沙箱属性的iframe。 可以托管用户提供的窗口小部件和类似情况。 工作示例: : 。 使用简单(请参阅以获取更多信息): import Sandbox from...
第三方JavaScript代码沙盒技术研究.pdf
01-02
第三方JavaScript代码沙盒技术研究 本文研究了第三方JavaScript代码沙盒技术的应用,旨在解决Mashup风格的Web应用中集成不可信的第三方JavaScript代码的问题。通过分析当前浏览器的主要安全机制,提出了沙盒技术所...
阿里云上kubesphere安装配置 - 使用阿里云负载均衡
linkedin_21843693的博客
07-09 441
阿里云上kubesphere安装配置 - 使用阿里云负载均衡,使用阿里云nas作为文件存储系统。
阿里云操作系统智能助手OS Copilot的实验测评报告
2301_82312762的博客
07-12 788
在老师的介绍下我了解到了阿里云OS Copilot这个产品,它是阿里云推出的一项基于人工智能技术的操作系统,设计用于阿里云Linux操作系统以及其他可能的云上操作系统环境,为用户提供智能化的系统管理和运维支持。阿里云提供了操作手册,操作时按着步骤来就好使用操作系统智能助手OS Copilot解锁操作系统运维与编程 - 云起实验室-在线实验-上云实践-阿里云开发者社区-阿里云官方实验平台-阿里云
快递查询|阿里云实现调用API接口
tanshuapi的博客
07-11 410
在《买家控制台》可以查看您账户的appcode,网站还有其他开发语言的案例,可以对应您自身业务进行参考,下面以 python为例调用接口。点击《发起请求》,即可看到响应列表中返回的实时数据,这样就表示整个接口请求完成,下一步就可以把该请求接入到对应程序中。本次解析通过阿里云云市场的云服务来实现程序中对快递包裹实时监控,首先需要准备选择一家可以提供快递查询的商品。以下是成功调用的返的内容,可以直接把结果解析到业务中去并显示结果,至此整个请求流程就结束了。如图点击免费试用,即可免费申请该接口数据。
阿里云通义千
最新发布
2301_81771576的博客
07-12 219
尤其在中文能力方面,一直处于业界领先地位[^4^]。- **多模态模型**:通义千问不仅仅限于文本处理,它还具备多模态处理能力,例如其视觉理解模型Qwen-VL-Max在多项标准测试中得分超群,已被多家企业采用[^4^]。3. **技术创新**阿里云通义千问是阿里巴巴集团旗下的一款先进的人工智能大模型,具有强大的理解和生成能力,广泛应用于内容创作、翻译服务、文本摘要等多种场景**。- **翻译服务**:通义千问具备强大的翻译服务能力,能够提供多种语言的翻译,满足用户的跨语言交流需求[^5^]。
JS使用Function进行沙盒化处理
05-30
JavaScript 中,可以使用 `Function` 函数来进行沙盒化处理。具体来说,可以通过以下步骤来实现: 1. 创建一个空对象 `sandbox` 作为沙盒。 2. 在 `sandbox` 中定义可供执行的函数和变量,这些函数和变量只能在沙盒中被访问和修改,不会影响到全局作用域。 3. 使用 `Function` 函数创建一个新的函数对象,并将要执行的代码作为参数传递给它。这个函数对象只能访问沙盒中定义的函数和变量,不能访问全局作用域中的函数和变量。 4. 调用这个函数对象来执行代码。 下面是一个使用 `Function` 函数进行沙盒化处理的示例: ```javascript // 创建一个空对象作为沙盒 var sandbox = {}; // 在沙盒中定义一个变量和一个函数 sandbox.data = 10; sandbox.add = function(a, b) { return a + b; }; // 使用 Function 函数创建一个新的函数对象 var func = new Function('sandbox', 'return sandbox.add(sandbox.data, 20);'); // 调用这个函数对象来执行代码 var result = func(sandbox); // 输出结果 console.log(result); // 30 ``` 在上面的示例中,我们首先创建了一个空对象 `sandbox` 作为沙盒。然后,在沙盒中定义了一个变量 `data` 和一个函数 `add`。接着,使用 `Function` 函数创建了一个新的函数对象 `func`,将要执行的代码作为参数传递给它。这个代码中调用了沙盒中的函数和变量,不能访问全局作用域中的函数和变量。最后,调用这个函数对象来执行代码,并将沙盒作为参数传递给它。 需要注意的是,使用 `Function` 函数进行沙盒化处理的时候,需要对要执行的代码进行充分的检查和过滤,以避免恶意代码的注入。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值