前端技术 — 关于JS沙箱(JS隔离)的几种方案带来的思考和展望

最新推荐文章于 2024-05-12 11:33:24 发布
最新推荐文章于 2024-05-12 11:33:24 发布
阅读量3.4k 收藏 7
点赞数
分类专栏: JS 前端 文章标签: javascript 前端 大前端 微服务 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013605060/article/details/119532370
版权
JS 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
前端
5 篇文章 0 订阅
订阅专栏

背景介绍:

从第五代标准HTML推广发布后,其中工作线程(Web Worker)概念的推出让人眼前一亮,但未曾随之激起多大的浪花,并被在其随后工程侧的 Angular、Vue、React 等框架的「革命」浪潮所淹没。
但自从2019 年爆火的微前端架构的出现,基于微应用间 JavaScript 沙箱隔离的需求,Web Worker 才得以重新从边缘化的位置跃入到我的中心视野。

什么是JS沙箱:

在现实与 JavaScript 相关的场景中,我们知道平时使用的浏览器就是一个沙箱,运行在浏览器中的 JavaScript 代码无法直接访问文件系统、显示器或其他任何硬件。Chrome 浏览器中每个标签页也是一个沙箱,各个标签页内的数据无法直接相互影响,接口都在独立的上下文中运行。而在同一个浏览器标签页下运行 HTML 页面,有哪些更细节的、对沙箱现象有需求的场景呢?

当我们作为前端开发人员较长一段时间后,我们很轻易地就能想到在同一个页面下,使用沙箱需求的诸多应用场景,譬如:

  1. 执行从不受信的源获取到的第三方 JavaScript 代码时(比如引入插件、处理 jsonp 请求回来的数据等)。
  2. 在线代码编辑器场景(比如著名的 codesandbox)。
  3. 使用服务端渲染方案。
  4. 模板字符串中的表达式的计算。

JS沙箱的条件:

既然有JS沙箱的需求出现,那么我们就要整理一下什么样的沙箱是我们想要的,我整理了以下几种条件:

  1. 挂在 window 上的全局方法/变量(如 setTimeout、滚动等全局事件监听等)在子应用切换时的清理和还原。
  2. Cookie、LocalStorage 等的读写安全策略限制。
  3. 各子应用独立路由的实现。
  4. 多个微应用共存时相互独立的实现

很显而易见的是,只要符合以上几种条件就是符合我们需求的JS沙箱,那么市面上有几种解决方案呢?

JS隔离的几种方式:

谈到JS沙箱,市场上真正能落地的产品不多,从「iframe」到「single-spa」,但其中的解决方案都有各自的缺点。
阿里的乾坤方案,说实话,以我的技术水平不好评论什么。
这里引入一下「绯凡」大佬在简书上的评价吧
在这里插入图片描述
当然,从「绯凡」的回答中也可以看出来,阿里正在做一系列的微前端架构的产品,我们相信,各个大厂商也在这一领域有着自己的解决方案和思考。

大概归拢了以下几种方案:

  1. window快照还原:利用 window 上常用的常量和方法以及不支持 Proxy时降级通过快照实现备份还原,这一方案是比较原始的超脱方案,乾坤框架应该也有这种方案的影子,从沙箱有两个 入口可以看出来(一个是proxySandbox.ts,另一个是snapshotSandbox.ts),结合其相关开源文章分享,简单总结下其实现思路:起初版本使用了快照沙箱的概念,模拟
    ES6 的 Proxy API,通过代理劫持 window ,当子应用修改或使用
    window上的属性或方法时,把对应的操作记录下来,每次子应用挂载/卸载时生成快照,当再次从外部切换到当前子应用时,再从记录的快照中恢复,而后来为了兼容多个子应用共存的情况,又基于Proxy
    实现了代理所有全局性的常量和方法接口,为每个子应用构造了独立的运行环境。
  1. 第二种方案就是阿里云开发平台的 Browser VM借助iframe的方案,大概原理就是接触iframe生成window,将子应用的包装成一个闭包方法,将iframe生成的window传入,借助iframe天生的优势(硬隔离),非常nice的解决了各个子应用的隔离,也不需要自行维护window这种情况,但缺点也很明显,所有执行必须通过postMessage
    与主线程通信,易用性以及 postMessage 序列化带来的性能等问题都深深困扰的开发者。
  1. 第三种方案是Figma 采用的方案,它基于目前还在草案阶段 Realm API,并将 JavaScript 解释器的一种 C++ 实现 Duktape 编译到了 WebAssembly,然后将其嵌入到
    Realm上下文中,实现了其产品下的三方插件的独立运行。这种方案和探索的基于 Web
    Worker的实现可能能够结合得更好,值得注意的是,Realm 同样可以使用 JavaScript 目前已有的特性来实现,即 with
    与Proxy。这也是目前社区比较流行的沙箱方案。

小结:

JavaScript 沙箱隔离在社区是个经久不衰的话题,最简单的 iframe 标签 Sandbox 属性就已经能做到 JavaScript 运行时的隔离,社区较为流行的是利用一些语言特性(with、realm、Proxy 等 API )屏蔽(或代理) Window、Document 等全局对象,建立白名单机制,对可能潜在危险操作的 API 重写(如阿里云 Console OS - Browser VM),另一种就是更高端的操作了,就好像Figma一样,使用这种尝试嵌入平台无关的 JavaScript 解释器,所有第三方代码都通过嵌入的解释器来执行。

当然了,完整的微前端一定不是单单一个框架领域就能解决的,一定是一套完整的架构,对于前端来说,甚至于到一整套的开发工具插件,一整套的开发模式,这些模式一定会对Vue这种框架产生一定量的冲击,我们目前看到前端体系的一步步完整,各种优秀的框架如雨后春笋一样发展,另一方面,CSS 隔离也比想象中复杂,而且大部分的方案会引入额外的问题

惊蛰ins
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JS 沙箱隔离简单实现
qq_40029828的博客
08-14 1840
随着应用架构复杂,微前端方案的出现,js运行环境沙箱在浏览器中的需求越来越多 需要js沙箱的场景 多个微前端应用中,变量冲突 执行第三方js:当你有必要执行第三方js的时候,而这份js文件又不一定可信的时候 需要实现的功能 一个独立的上下文作用域,其中的代码执行不会影响到其他的运行环境。 需要支持多个沙箱环境存在,每个沙箱需要有加载、卸载、再次恢复的能力,其对应着微应用的运行生命周期。 实现过程 1、核心是使用proxy对象创建window代理,并将需要被隔离起来的代码的执行作用域绑定到proxy对.
Javascript创建沙箱
ZTao-z的博客
07-05 584
用途 在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。 实现原理 构建with块级作用域限制局部变量 with语句 能改变变量的作用域链,使得程序在查找变量值时,都是先在with指定的对象中查找,然后再往上查找 使用ES6的Proxy限制变量向上查找 Proxy 用于修改某些操作的默认行为,等同于在语言层面做出修改,所以属于一种“元编程”(meta programming),即对编程语言进行编程。Proxy 可以理解成,在目标对象之前架设一层“拦截”,外界对该对象的访问,都必须先通过这层拦截,
2024年前端技术探索 - 你不知道的JS 沙箱隔离,互联网大厂面试题库
最新发布
2401_84620303的博客
05-12 895
最后,最为重要的一点,这种方法暂时还是没有解决 window 下资源共享的问题,或者说,只是启动了解决这个问题的第一步。的概念,模拟 ES6 的 Proxy API,通过代理劫持 window ,当子应用修改或使用 window 上的属性或方法时,把对应的操作记录下来,每次子应用挂载/卸载时生成快照,当再次从外部切换到当前子应用时,再从记录的快照中恢复,而后来为了兼容多个子应用共存的情况,又基于 Proxy 实现了代理所有全局性的常量和方法接口,为每个子应用构造了独立的运行环境。面试,说到底是一种考试。
前端技术探索 - 你不知道的JS 沙箱隔离
zz_jesse的博客
04-15 1329
点击上方关注前端技术江湖,我们一起学习,天天进步一些「炒冷饭」背景介绍本文并不会从头开始介绍 Web Worker 的基础知识和基本 API 的使用等(只是部分有涉及),若还未了解过 W...
Javascript隔离方法
weixin_38170065的博客
09-05 291
1.常用的隔离方法: 1 (function() { 2 3 })(); 2.query的隔离方法: 需要引入jquery: <script type="text/javascript">path/to/jquery-3.1.0.min.js</script> 1 $(function(){ 2 3 });...
js实现接口隔离
03-01 266
昨天公司培训了接口隔离,简单说一下 接口隔离:类间的依赖关系应该建立在最小的接口上。接口隔离原则将非常庞大、臃肿的接口拆分成更小具体的接口,这样客户讲会只需要知道他们感兴趣的方法。 接口隔离原则的目的是系统解开耦合,从而容易重构、更改和重新部署。 先贴一个错误示范 class animal {//动物类 constructor(name) {...
浅谈乾坤JS隔离的三种机制(快照沙箱、两种代理沙箱
qq_44586361的博客
05-14 2456
从上面的代码可以看出,ProxySandbox不存在状态恢复的逻辑,因为所有的变化都是沙箱内部的变化,和window没有关系,window上的属性自始至终都没有受到过影响。支持多应用的代理沙箱则可以为每个微应用创建一个独立的沙箱环境,避免了多个应用之间的状态混乱问题。支持多应用的代理沙箱则可以支持多个微应用同时运行,因为它可以为每个微应用创建一个独立的沙箱环境,避免了多个应用之间的状态混乱问题。同时,支持多应用的代理沙箱也不需要遍历window上的所有属性,因为它只会代理微应用需要的属性,从而提高了性能。
qiankun【隔离沙箱
qq_32019935的博客
07-11 2109
qiankun隔离沙箱有两种,一种是js变量隔离沙箱,LegacySandbox 单例沙箱ProxySandbox 多例沙箱SnapshotSandbox 低版本沙箱一种是样式隔离沙箱样式隔离沙箱通过配置。
沙箱:一种用于探索和尝试现代JavaScript技术和工具的环境
02-14
沙箱,作为一种安全的实验环境,对于学习和测试新的JavaScript技术及工具至关重要。在这个环境中,开发者可以尽情尝试各种前沿的编程概念,而不必担心对实际项目产生任何不良影响。沙箱通常提供隔离的运行时环境,...
Firehunter APT沙箱安全技术方案.pptx
10-12
"Firehunter APT沙箱安全技术方案" .Firehunter APT沙箱安全技术解决方案是华为提供的一种APT沙箱安全解决方案,旨在检测和防御APT攻击。该解决方案基于行为特征检测和机器学习技术,能够检测未知恶意文件和未知...
JS实现闭包中的沙箱模式示例
10-19
沙箱模式是利用闭包实现的一种模块化设计模式,它提供了一种隔离机制,使得模块内的代码不会对全局环境造成污染。本示例通过创建一个自执行函数(Immediately Invoked Function Expression, IIFE)来演示如何在JS中...
js代码-没做权限隔离,看看大家都在测试啥
07-14
js代码-没做权限隔离,看看大家都在测试啥
js_stuffs:Javascript沙箱
05-23
JavaScript沙箱通常通过创建一个隔离的上下文或者使用特定的API限制来实现。 在“js_stuffs”这个项目中,我们看到提到了“带有jQuery Mobile的Cafe菜单网站”。jQuery Mobile是一个轻量级、触屏优化的JavaScript库...
沙箱:用于node.js的漂亮javascript沙箱
02-19
一个适用于node.js的漂亮javascript沙箱。 一些功能 可用于执行不受信任的代码。 支持超时(例如,防止无限循环) 支持内存错误(和内存错误) 优雅地处理错误 受限代码(无法访问node.js方法) 支持console.log...
微服务之间的js隔离和css隔离实现原理
程序媛的梦工厂
02-28 983
微服务之间的js隔离和css隔离实现原理
Web安全1&沙箱隔离
weixin_30535913的博客
07-25 485
1.web安全 Web安全的本质是信任问题 •由于信任,正常处理用户恶意的输入导致问题的产生 •非预期的输入(就是不是程序员预期的客户的输入) 安全是木桶原理,短的那块板决定的木桶世纪能装多少水,同样的,假设把99%的问题都处理了,那么1%的余留会是造成安全问题的那个短板 2.当我们访问一个网址的时候,这中间发生了什么? •输入网址 •浏览器查找域名的IP地址 •浏览器给We...
【Web技术】1589- 带你了解前端沙箱到底是什么
pingan8787
02-08 643
什么是“沙箱”也称作:“沙箱/沙盒/沙盘”。沙箱是一种安全机制,为运行中的程序提供隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。沙箱能够安全的执行不受信任的代码,且不影响外部实际代码影响的独立环境。有哪些动态执行脚本的场景?在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚...
前端沙箱的原理及实现方式
pingpinganan0828的博客
04-18 948
这是一个非常明智的设计,FinClip的开发团队没有重新发明自己的技术规格,而是全力支持小程序这种形态的轻应用,一方面是因为小程序类技术的体验和效果在互联网上得到充分验证、获得巨大成功,另一方面是网上积累了丰富的技术生态、开发框架、以及更重要的 - 人才资源,从而让企业IT几乎是无缝掌握这个技术,能迅速投入应用。小程序沙箱的诞生,这一安全机制,保护了小程序的安全和稳定。通过限制小程序的访问权限和运行环境,小程序沙箱能够有效地避免恶意代码的攻击和破坏,为用户和开发者提供更加安全和可靠的小程序开发和使用环境。
js怎么对于不可信的代码,使用沙箱技术隔离执行环境
05-30
JavaScript 中,可以使用沙箱技术隔离执行环境,以避免不可信的代码对系统造成损害。沙箱技术可以创建一个独立的执行环境,使得不可信的代码只能在这个执行环境中执行,而不能对其他部分造成影响。 下面是一个简单的沙箱实现示例: ```javascript function createSandbox() { // 创建一个新的 iframe 元素 var iframe = document.createElement('iframe'); // 设置 iframe 的属性,使其不可见 iframe.style.display = 'none'; iframe.sandbox = 'allow-scripts'; // 将 iframe 添加到当前文档中 document.body.appendChild(iframe); // 返回 iframe 的 window 对象作为沙箱 return iframe.contentWindow; } // 创建一个沙箱 var sandbox = createSandbox(); // 在沙箱中执行不可信的代码 sandbox.eval('alert("Hello, World!");'); ``` 在上面的示例中,我们创建了一个新的 iframe 元素,并将其添加到当前文档中。然后,将 iframe 的 `sandbox` 属性设置为 `allow-scripts`,这意味着只允许在 iframe 中执行 JavaScript 代码,而不允许访问其他资源。最后,我们将 iframe 的 `contentWindow` 对象返回作为沙箱,可以使用 `eval()` 方法在这个沙箱中执行不可信的代码。 需要注意的是,沙箱技术并不能完全保证代码的安全性,因为在某些情况下,恶意代码仍然可能通过一些方式逃出沙箱。因此,在使用沙箱技术时,还需要注意其他的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值