JS 沙箱实现方案

最新推荐文章于 2024-06-06 20:19:17 发布
最新推荐文章于 2024-06-06 20:19:17 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 微前端 文章标签: javascript 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42943914/article/details/128955497
版权

沙箱概述

在计算机安全中,Sandbox 是一种用于隔离正在运行程序的安全集资,通常用于执行未经测试或者不受信任的程序或者代码,它回为待执行的程序创建一个独立的执行环境,内部程序的执行不会影响外部程序的执行。

js 沙箱的使用场景

  1. jsonp: 在解析服务器返回的jsonp数据的时候,如果不信任jsonp的数据,可以通过创建沙箱的方式来获取数据;执行第三方js(不受信任的js)的时候
  2. 在线代码编辑器: 在线编辑器中一般讲代码放在沙箱中执行,避免对页面本身造成影响
  3. vue 服务端渲染: vue 的服务端渲染, 通过创建沙箱执行前端的bundle文件;在调用createBundleRender方法的时候,允许配置runlnNewContext为true或false的形式,判断是否传入一个新创建的sandbox对象以供vm使用
  4. vue 模板中的表达式: vue 模板中表达式的计算被放在沙盒中,只能访问全局变量的一个白名单,如Math和Date.你不能在模板表达式中试图访问用户定义的全局变量

js 沙箱的实现方式

<一>、 基于iframe的沙箱环境实现

通过iframe来创建沙箱环境是一种常用的方法,iframe本身就是一个封闭的沙箱环境,假如即将执行的代码不是我们自己的代码,是不可信任的数据,那么可以通过iframe来执行

<!DOCTYPE html> 
<html lang="en">
	<head>
		<meta charset="UTF-8"> 
		<meta http-equiv="X-UA-Compatible" content="IE=edge">
		<meta name="viewport" content="width=device-width, initial-scale=1.0">
		<style>
			#root { 
				width: 800px;
				height: 600px;
				border: 2px solid blue;
			}
		</style>
		<script>
			window.onload = function() {
				const parent = window;
				const frame = document.createElement('iframe'); // 限制代码的执行能力
				frame.sandbox = 'allow-same-origin';
				const data = [1, 3, 5, 7, 9, 11, 13]
				let newData = [] // 给当前页面发送消息
				frame.onload = function(e) {
					frame.contentWindow.postMessage(data)
				}
				// iframe 对接收到的数据进行处理
				documnet.getElementById('root').appendChild(frame);
				const code = ` return dataInIframe.filter(item => item % 3 === 0) `
				frame.contentWindow.addEventListener('message', function(e) {
					console.log('iframe send message:', e.data)
					// 将计算结果发送给父页面
					const func = new frame.contentWindow.Function('dataInIframe', code)
					// 父页面接收到iframe传递的数据	
					parent.postMessage(func(e.data)); })															  parent.addEventListener('message', function(e) {
				       		console.log('parent - message from iframe', e.data);
					 }, false); } `	
		</script>
	</head>
	<body>
	<div id="root"></div>
	</body>
</html>

1.1使用iframe及自定义消息传递机制跨窗口通信

同源策略会限制窗口之间进行通信:
* 如果我们对一个同源的窗口进行引用,是具有访问权限的
* 如果我们想对不同源的窗口进行访问,我们就没有权限访问这个窗口下的内容(变量、文档、上下文),但是location是例外的,通过location我们可以实现窗口间的跳转,但是我们无法获取到location的信息,无法看到用户当前所处的位置。

1.2 iframe简介

iframe 标签可以单独创建一个新的窗口,这个新的窗口有自己的document和window

1.2.1 基本属性
  • frameborder: 是否显示边框
  • height: 框架作为一个普通元素的高度
  • *width: 宽度 * name: 框架名称,window.frames[name]
  • scrolling: 框架是否滚动 * scr: 框架地址或者页面地址
  • srcdoc: 用于替换原来在HTML Body中的内容
  • sandbox: 对iframe进行一列限制

*同域情况下我们可以自由操作iframe和父框架的内容DOM,但是跨域条件下就只能进行页面跳转*

1.2.2 获取iframe 中的内容
  1. iframe.contentWindow: 获取iframe的window对象
  2. iframe.contentDocument: 获取iframe的document对象
1.2.3 在iframe中获取父级内容(同域)
  1. window.parent: 获取上一级的window对象,如果还是iframe则是改iframe的window对象
  2. window.top: 获取顶级容器的window对象
  3. window.self: 返回自身的window引用
1.2.4 sandbox
  1. 启用sandbox之后会对iframe页面进行一系列的限制:
  • script 脚本不能执行
  • 不能发送ajax请求
  • 不能使用本地存储,localstroage,cookie
  • 不能创建信的弹窗和window
  • 不能发送表单
  • 不能加载额外插件,flash等
<iframe sandbox src="..."></iframe>
  1. sandbox 常用配置:
  • allow-forms: 允许提交表单
  • allow-script: 允许运行脚本
  • allow-same-origin: 允许同域请求,ajax,stroge
  • allow-top-navigation: 允许iframe能够主导window.top进行页面跳转
  • allow-popups: 允许iframe中弹出新窗口(window.open, target=“_blank”)
  • allow-pointer-lock: 在iframe中可以锁定鼠标,主要和鼠标锁定有关
<iframe sandbox="allow-forms" src="..."></iframe>

使用iframe实现微前端有哪些优点?

  1. 实现简单:子应用之间自带沙箱,天然隔离,互不影响
  2. 技术限制:可以各自使用完全不同的前端框架
  3. 消息传递: 只要每个iframe来自同一个源,就可以使用window.postMessageAPI进行消息传递

使用iframe实现微前端有哪些缺点

  1. Buddle的大小各异,构建时不能提取公共依赖关系
  2. 不支持SEO
  3. URL不同步: iframe页面url中的状态信息不能同步到父窗口,无法使用浏览器的前进和后退功能
  4. DOM结构不共享: iframe的页面布局只针对iframe窗口
  5. 全局上下问完全隔离,内存变量不共享
  6. 启动慢: 每次微应用进入都是一次浏览器上下问重建、资源重新加载的过程

<二>、基于Proxy的沙箱实现

基于沙箱实现沙箱的主要原理是,通过Proxy劫持沙箱全局window,记录对全局对象属性的更改,来修改window对象的属性和方法,在卸载和加载应用时关闭/激活沙箱,达到模拟沙箱的目的

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>代理沙箱基本实现</title>
</head>
<body>
	<h1>Proxy Sandbox</h2>
	<script>
		// 根据沙箱内对属性/方法的操作记录更该window对象的属性/方法
		function updateWindowProps (prop, value, isDelete) {
			if(value === undefined || isDelete){
				// 删除属性
				delete window[prop];
			} else {
				// 更新属性
				window[prop] = value;
			}
		}
		
		// 代理沙箱实现
		class ProxySandbox {
			constructor(name) {
				// 代理沙箱名称
				this.name = name;
				// 沙箱全局对象
				const sandboxWindow = Object.create(null);
				// sandboxWindow 代理
				this.proxy = null;
				// 记录新增加的属性
				this.addedPropsMap = new Map();
				// 记录更新的属性
				this.updatedPropsMap = new Map();
				// 记录所有有更改记录的属性(新增/修改)
				this.allChangedPropsMap = new Map()
				
				const proxy = new Proxy(sandboxWindow, {
					get(target, prop) {
						return window[prop]
					},
					set(target, prop, value){
						if(!window.hasOwnProperty(prop)) {
							// window 对象上没有属性,记录新增
							this.addedPropsMap.set(prop, value);
						} else if(!this.updatedPropsMap.has(prop)) {
							// window 对像上已经存在的值,但是还没有更新,记录更新
							const orgVal = window[prop]
							this.updatedPropsMap.set(prop, orgVal);
						}
						// 记录所有变更的对象
						this.allChangedPropsMap.set(prop, value);
						// 更改window对象
						updateWindow(prop, value);
						return true;
					}
				});
				
				this.proxy = proxy
			}
			
			// 激活沙箱
			activeSandbox() {
				// 更新当前记录的所有属性
				this.allChangedPropsMap.forEach((val, prop) => updateWindow(prop, val));
			}
			
			// 关闭沙箱
			inactiveSandbox() {
				// 还原所有更新过的属性
				this.updatedPropsMap.forEach((val, prop) => updateWindow(prop, val));
				// 删除所有沙箱内新添加的属性
				this.addedPropsMap.forEach((_, prop) => updateWindow(prop, undefined, true))
			}
		}
		
		// 代理沙箱测试
		const sandbox = new ProxySandbox('代理沙箱')
		const sandboxContext = sandbox.proxy
		sandboxContext.dog = '旺财'
		console.log('沙箱激活:', sandboxContext.dog, window.dog); // 旺财 旺财
		
		//关闭沙箱
		sandbox.inactiveSandbox();
		console.log('关闭沙箱:', sandboxContext.dog, window.dog); // undefined undefined
		
		// 重新激活沙箱
		sandbox.activeSandbox();
		console.log('沙箱激活:', sandboxContext.dog, window.dog); // 旺财 旺财
	</script>
</body>

<三>、diff方式实现沙箱

在不支持proxy的浏览器中,可以通过diff的方式实现沙箱

  • 在运行子应用时保存一个window的快照对象,将当前的window对象全部复制到这个快照对象中
  • 子应用卸载时将window对象和快照对象对象进行diff,将不同的属性保存下来,再次挂载的时候再添加上这些属性
<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>diff 实现沙箱</title>
</head>

<body>
    <h1>Diff Sandbox</h1>
    <script>
        class DiffSandbox {
            constructor(name) {
                this.name = name
                this.modifiedProps = {}
                this.windowSnapshot = {}
            }

            activeSandbox() {
                this.windowSnapshot = {}
                for (let key in window) {
                    this.windowSnapshot[key] = window[key]
                }

                Object.keys(this.modifiedProps).forEach(propName => {
                    window[propName] = this.modifiedProps[propName]
                })
            }

            inactiveSandbox() {
                for (let key in window) {
                    if (this.windowSnapshot[key] !== window[key]) {
                        this.modifiedProps[key] = window[key]
                        window[key] = this.windowSnapshot[key]
                    }
                }
            }
        }

        // diff 沙箱测试
        const diffSandbox = new DiffSandbox('diff沙箱')
        // 激活沙箱
        diffSandbox.activeSandbox()
        window.cat = '1'
        console.log('激活沙箱', window.cat) // 1

        // 关闭沙箱
        diffSandbox.inactiveSandbox()
        console.log('关闭沙箱', window.cat) // undefined

        diffSandbox.activeSandbox()
        console.log('重新激活沙箱', window.cat) // 1
    </script>
</body>

</html>
Code Crafter
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript 注册表访问实现代码
12-11
总的来说,由于JavaScript的沙箱安全模型,直接访问注册表在现代Web环境中并不常见,通常只在特定的IE环境下或通过服务器代理实现。在设计解决方案时,一定要考虑安全性和兼容性,确保用户数据的安全。
乾坤微前端js沙箱机制
weixin_45678402的博客
04-17 357
qiankun微前端 js沙箱机制
JavaScript沙箱
糖衣
05-16 2256
在计算机安全中,沙箱(Sandbox)是一种用于隔离正在运行程序的安全机制,通常用于执行未经测试或者不受信任的程序或代码,它会为待执行的程序创建一个独立的执行环境,内部程序的执行不会影响到外部程序的运行。
微前端学习笔记(3):前端沙箱之JavaScript的sandbox(沙盒/沙箱
最新发布
周陆军的博客,分享it技术。
06-06 1113
多实例运行语法兼容不污染全局环境(主应用)❌❌❌✅❌✅❌✅❌iframe✅✅✅转载本站文章《微前端学习笔记(3):前端沙箱之JavaScript的sandbox(沙盒/沙箱)》,微前端学习笔记(3):前端沙箱之JavaScript的sandbox(沙盒/沙箱) - 前端架构设计 - 周陆军的个人网站。
js沙箱机制
weixin_43760238的博客
09-30 777
也就是说,激活方法中程序读取到的window对象,即为纯粹的window对象,我们需要对这个window对象附加/修改/移除,使得window对象变为当前应用使用的window对象;失活方法中程序代码中获取到的window对象,就是应用本身的window对象,我们需要对这个window对象附加/修改/移除,使得window对象变为纯粹的window对象。沙箱激活后至沙箱失活前,当前的window对象一定为当前应用使用的window(即纯粹的window对象+当前应用对window对象做出的修改)
2022-JavaScript - 什么是沙箱
itwangyang520的博客
12-02 475
是一种安全防护机制在计算机安全中,沙箱是一种用于隔离正在运行程序的安全机制,通常用于执行未经测试或不受信任的程序或者代码,它会为待执行的程序创建一个独立的执行环境,内部程序的执行不会影响到外部程序的执行。
js沙箱逃逸
middlecorn的博客
08-03 749
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。
腾讯一面:你了解js沙箱环境吗?
Perback的博客
04-18 871
JavaScript 的沙箱环境是一种隔离执行环境,允许运行和测试代码而不干扰主应用程序的状态或数据。它通过限制代码访问全局变量和函数,提供了一个安全的方式来执行不信任的代码,避免潜在的安全风险和数据泄露。沙箱环境对于保护应用程序免受恶意代码或不确定性代码影响至关重要。
采用Vuenodejs实现的在线Js编辑器
08-10
Node.js的vm2库提供了一种解决方案,它可以创建沙箱环境来限制代码的执行权限。另外,代码的高亮显示和格式化可以借助前端的库,如Prism.js或CodeMirror,它们提供了丰富的语言支持和自定义样式的能力。 在项目中,...
oceanhold:实验过程沙箱探索工具
06-09
JavaScript是一种广泛应用于Web前端开发的编程语言,它使得网页具有动态交互性,能够实现丰富的用户体验。在"Oceanhold"中,用户可以利用JavaScript进行各种尝试,如DOM操作、AJAX请求、事件处理、动画制作等,而...
react-sandbox:快速和最小的React沙箱
05-30
React沙箱还包含了浏览器支持,这意味着它可以在各种现代浏览器上运行,包括Chrome、Firefox、Safari等,确保了良好的兼容性。这对于开发者在不同环境下测试React应用非常有帮助。 "守望"(Watch)功能可能是指...
Sandbox:这是一个沙箱,我将在其中体验 Web 开发堆栈的新时代。 这个存储库主要包含 Node.js 技术
07-13
总的来说,这个Sandbox项目提供了一个学习和实践Node.js及其相关技术的理想环境,同时也可能涵盖了MongoDB的数据库操作和JavaScript动画实现,对于想要深入理解和掌握Web开发新技术的人来说,这是一个宝贵的资源。
前端开发中的JS沙箱模式
qq_48845432的博客
09-04 453
它通过创建一个封闭的执行环境,限制对外部环境的访问和执行不受信任的代码,有效地防止了代码的恶意行为和对全局作用域的污染。沙箱模式在网页浏览器中广泛应用于执行第三方或用户提供的代码,以确保网页的安全性。要实现沙箱模式,可以使用闭包、IIFE和代理等技术,同时根据具体需求和安全策略来定义沙箱环境的行为和限制。它通过创建一个受限的执行环境,将代码封装在其中,以防止对全局作用域的污染和不受信任的代码执行。沙箱模式通常用于在网页浏览器中执行第三方或用户提供的代码,以确保其不会对宿主环境造成潜在的安全风险。
js沙箱的概念
cyy_web的博客
10-27 1691
沙箱沙箱就是js中一块完全独立的区域,使用的都是自己独立的属性和方法js沙箱的基本格式 (function(){})() 自调用函数(立即执行函数)沙箱的使用规范 所有的变量定义 写在最上方 中间放逻辑代码 最后,如果需要就给外界暴露一些成员(比如jQuery的例如window. 例如 window.=window.jQuery=$) 沙箱的用途沙箱模式一般应用在书写第
Shadow DOM 样式隔离 &&js沙箱&&qiankun
小漠007的专栏
08-24 1934
这种方法可能使用于中台这种嵌套其他子应用的场景,目前没遇到其他使用场景或有更好的解决方案不管是link导入的样色还是标签样色都可以被隔离,不影响shadow dom外层的样色。
JS沙盒实现
from_the_star的博客
08-10 1602
JS沙盒简述 沙盒(英语:sandbox,又译为沙箱),计算机术语,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。 沙盒通常严格控制其中的程序所能访问的资源,比如,沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说,沙盒属于虚拟化的一种。 沙盒中的所有改动对操作系统不会造成任何损失。通常,这种技术被计算机技术人员广泛用于测试可能带毒的程
qiankun【隔离沙箱
qq_32019935的博客
07-11 2108
qiankun隔离沙箱有两种,一种是js变量隔离沙箱,LegacySandbox 单例沙箱ProxySandbox 多例沙箱SnapshotSandbox 低版本沙箱一种是样式隔离沙箱样式隔离沙箱通过配置。
乾坤的Js隔离机制(快照沙箱、两种代理沙箱
m0_74418779的博客
02-19 1327
微前端js沙箱隔离机制
浅谈乾坤JS隔离的三种机制(快照沙箱、两种代理沙箱
qq_44586361的博客
05-14 2450
从上面的代码可以看出,ProxySandbox不存在状态恢复的逻辑,因为所有的变化都是沙箱内部的变化,和window没有关系,window上的属性自始至终都没有受到过影响。支持多应用的代理沙箱则可以为每个微应用创建一个独立的沙箱环境,避免了多个应用之间的状态混乱问题。支持多应用的代理沙箱则可以支持多个微应用同时运行,因为它可以为每个微应用创建一个独立的沙箱环境,避免了多个应用之间的状态混乱问题。同时,支持多应用的代理沙箱也不需要遍历window上的所有属性,因为它只会代理微应用需要的属性,从而提高了性能。
nodejs实现沙箱逃逸
09-12
Node.js实现沙箱逃逸是指在沙箱环境中执行的代码成功越过了沙箱的限制,获取了对系统资源的访问权限。然而,Node.js本身并没有提供直接的支持来实现沙箱逃逸,它的目标是提供一个安全且高效的服务器端JavaScript运行环境。 在Node.js中,使用VM模块创建的沙箱环境是相对安全的,它通过限制脚本的访问权限来保护系统资源。VM模块提供了一些API来控制沙箱环境中的代码执行,比如创建沙箱上下文、执行脚本、设置全局变量等。但是,由于Node.js的设计目标是提供一个强大的服务器端应用程序运行环境,因此并不强调提供完全安全的沙箱机制。 要实现真正安全的沙箱逃逸是非常困难的,需要考虑到很多因素,包括代码执行的上下文、访问权限的控制、对系统资源的保护等。通常情况下,如果存在沙箱逃逸漏洞,那么这是一个严重的安全问题,需要及时修复。 总而言之,Node.js本身并没有提供直接支持实现沙箱逃逸。在使用Node.js时,开发者应该注意编写安全的代码,并遵循安全最佳实践,以确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值