nodejs 沙箱环境 vm

最新推荐文章于 2024-03-25 17:19:30 发布
最新推荐文章于 2024-03-25 17:19:30 发布
阅读量268 收藏 2
点赞数
文章标签: python java javascript js vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35516360/article/details/122065352
版权
本文探讨了Node.js的内置`vm`模块,用于在安全环境中执行用户提供的JavaScript代码。通过`vm.Script`和`vm.runInContext`方法,可以创建和运行代码实例。文章提到了如何获取异步代码的结果,以及如何设置代码运行时间限制。此外,还强调了定制`context`的安全风险,并推荐了如`vm2`等第三方库来增强安全性。在生产环境中,建议结合子进程和底层资源限制来进一步确保安全。
摘要由CSDN通过智能技术生成

原文链接: nodejs 沙箱环境 vm

上一篇: lerna 代码管理模式

下一篇: css overflow overlay 的特性

文档

http://nodejs.cn/api/vm.html

vm2 一个类似的第三方库

https://github.com/patriksimek/vm2

在一些系统中,我们希望给用户提供插入自定义逻辑的能力,除了 RPC REST 之外,运行客户提供的代码也是比较常用的方法,好处是可以极大地减少在网络上的耗时。JavaScript 是一种非常流行而且容易上手的语言,因此,让用户用 JavaScript 来写自定义逻辑是一个不错的选择。下面我们介绍 Node.js 提供的 vm 模块以及分析用它来运行不信任代码可能遇到的问题。

vm 模块

vm 模块是 Node.js 内置的核心模块,它能让我们编译 JavaScript 代码和在指定的环境中运行。请看下面例子: 

const util = require('util');
const vm = require('vm');

// 1. 创建一个 vm.Script 实例, 编译要执行的代码
const script = new vm.Script('globalVar += 1; anotherGlobalVar = 1; ');
// 2. 用于绑定到 context 的对象
const sandbox = {globalVar: 1};
// 3. 创建一个 context, 并且把 sandbox 这个对象绑定到这个环境, 作为全局对象
const contextifiedSandbox = vm.createContext(sandbo
最低0.47元/天 解锁文章
阿豪boy
关注
NodeJs中的VM模块详解
10-24
VM模块与Node.js的require方法以及整个运行机制息息相关,它让开发者能够在Node.js环境中创建隔离的上下文(沙箱),允许执行代码但又不直接访问宿主环境的全局变量。这样,就可以避免安全风险,以及在执行不信任...
Nodejs沙箱逃逸
m0_66022305的博客
08-03 281
我们在沙盒中定义一个函数并返回,在沙盒外这个函数被调用,那么此时的arguments.callee.caller就是沙盒外的这个调用者,我们再通过这个调用者拿到它的constructor等属性,就可以绕过沙箱了。在 JavaScript 中,this 关键字的值取决于函数的执行上下文。因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的。
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 1690
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
Nodejs沙箱逃逸--总结
m0_68976043的博客
08-19 3220
每一个包都有一个自己的上下文,包之间的作用域是互相隔离不互通的,也就是说就算我在y1.js中require了y2.js,那么我在y1.js中也无法直接调用y2.js中的变量和函数,举个例子。在Web端(浏览器),发挥作用的一般是JavaScript,学过JavaScript的师傅应该都知道我们打开浏览器的窗口是JavaScript中最大的对象。我们都知道函数内和函数外是两个作用域,不过当在函数中的作用域想要使用函数外的变量时,要通过形参来传递,当参数过多时这种方法就变的麻烦起来了。
Nodejs vm/vm2沙箱逃逸
qq_61768489的博客
04-13 2587
什么是沙箱沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。什么是VMVM就是虚拟环境,虚拟机,VM的特点就是不受环境的影响,也可以说他就是一个 沙箱环境沙箱模式给模块提供一个环境运行而不影响其它模块和它们私有的沙箱)类似于docker,docker是属于 Sandbox(沙箱) 的一种。简而言之,vm提供了一个干净的独立环境,提供测试。
Node.js 应用建立一个更安全的沙箱环境
qq_44005305的博客
02-13 372
在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚本,FireFox 的「油猴脚本」,能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情,扩展了能力,满足用户的个性化需求。与运行在「用户电脑中」的客户端应用不同,用户的自定义脚本通常只能影响用户自已,而对于在线的应用或服务来讲,有一些情况就变得更为重要,比如「安全」,用户的「自定义脚本」必须严格受到限制和隔离,即不能影响到宿主程序,也不能影响到其它用户。
nodejsVM的demo
11-14
若要使模块在VM环境中可用,需要手动引入并绑定到VM上下文的全局对象。 6. **错误处理** 当在VM模块中运行代码时,可能出现错误。这些错误可以通过标准的Node.js异常处理机制(try-catch语句)来捕获和处理。 7. ...
sandbox:用于随机事物的 NodeJS 沙箱
06-29
在这个场景下,"sandbox:用于随机事物的 NodeJS 沙箱" 可能是指一个项目,这个项目创建了一个 Node.js沙箱环境,用于测试、实验或处理不确定来源的 JavaScript 代码。 首先,我们来深入了解一下 Node.js沙箱...
vm-sandbox:Nodejs VM 沙箱示例
07-03
而"vm-sandbox"是Node.js中的一个模块,它提供了一种安全的方式来运行用户提供的代码,也就是所谓的沙箱环境。这个沙箱可以防止恶意代码对主应用程序造成破坏,因为它限制了代码的执行范围和权限。 "vm-sandbox...
浅谈Node.js 沙箱环境
01-01
node官方文档里提到nodevm模块可以用来做沙箱环境执行代码,对代码的上下文环境做隔离。 \A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code. 先看一个例子 const vm = require('vm'); let a = 1; var result = vm.r
python批量提交沙箱问题实例
12-24
本文实例讲述了python批量提交沙箱问题,分享给大家供大家参考。具体方法如下: 出现的问题如下: 1. Popen的使用,在linux下参数用列表传,不要用字符串传   否则可能会有“OSErrorror: [Errno 2] No such file or directory”错误 2. 列表要拷贝用 shutil模块中  不然会连续append..提交完第一个样本后,后面的提交参数就错了。 代码如下: import os from subprocess import Popen class SubmitCuckoo: """""" def __init__(self, di
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
Node.js之沙盒专题
最新发布
NYG694的博客
03-25 1395
Node.js一直是薄弱项,今天特意整理一下,基本上是各个大佬写的大杂烩,仅用于学习记录~~~
nodevm2库,js沙盒环境
局外人LZ的博客
01-02 3606
vm2 是一个用于在 Node.js 中创建沙盒环境的模块。它提供了一种安全执行 JavaScript 代码的方式,可以隔离和限制代码的访问权限,防止恶意代码对系统造成损害。创建沙盒环境vm2 允许你创建一个虚拟机实例(VM),在该实例中运行 JavaScript 代码。这个虚拟机实例是一个隔离的环境,与主 Node.js 进程相互独立,可以在其中执行代码。限制访问权限:vm2 允许你限制代码对系统资源的访问权限。你可以控制代码能否访问全局对象、模块、文件系统和网络等资源,从而提供更高的安全性。
Node.js沙箱逃逸
shawdow_bug的博客
09-02 2015
什么是沙箱(sandbox) 在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。 沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。 沙箱技术的实现 & node.js 沙箱技术按照设定的安全策略,限制不可信程序对系统资源的使用来实现,那么就要在访问系统资源之前将程序的系统调
Node.js 沙箱环境
ALLEN'Blog
01-11 476
vm提供了一种隔离的方式来执行不可信代码,但是并不是非常彻底,针对不可信代码最好的执行方式还是“物理隔离”,比如docker容器。
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3169
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行在 Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM不安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM的安全问题。 ..
nodejs沙箱逃逸
09-11
node.js沙箱逃逸是指攻击者利用特定的漏洞或技术手段,成功越过node.js沙箱限制,实现对主机环境的非法操作或访问。在node.js中,沙箱被用来隔离有害程序,防止其影响到主机环境。通过沙箱,可以将程序与程序之间、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值