沙盒(Sandbox)
之前我们已经看到函数 load 在受限的环境中运行 Lua 代码是非常简单的。由于 Lua 语言通过库函数完成与外部世界的通信,因此一旦移除了这些函数也就排除了一个脚本能够影响外部环境的可能。
尽管如此,我们仍然可能会被消耗大量CPU时间或内存的脚本进行拒绝服务(DoS)攻击。反射,以调试钩子的形式,提供了一种避免这种攻击的有趣方式。
首先,我们使用 count 时间钩子来限制一段代码能够执行的指令数。
local debug = require "debug"
local steplimit = 1000
local count = 0
local function step ()
count = count + 1
if count > steplimit then
error("script uses too much CPU")
end
end
--加载
local f = assert(loadfile(arg[1], "t", {}))
debug.sethook(step, " ", 100)
f() --运行文件。
这个程序加载了制定的文件,设置了钩子,然后运行文件。该程序把钩子设置为监听 count 事件, 使得 Lua 语言每执行100条指令就调用一次钩子函数。钩子(函数 step)只是递增一个计数器,然后检查其是否超过了某个