js沙箱

最新推荐文章于 2024-05-01 22:47:07 发布
最新推荐文章于 2024-05-01 22:47:07 发布
阅读量619 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wade3po/article/details/108233092
版权

沙箱,英文是sandbox,敲程序的应该都听过,或许用过类似理念的只是自己不知道,简单说就是让你的程序运行在一个隔离的环境下,不对外界的其他程序造成影响。沙箱主要是一种安全机制,把一些不信任的代码运行在沙箱之内,不能访问沙箱之外的代码。比如在线编辑器、执行第三方js、vue服务端渲染等,只要是运行不信任的程序,沙箱隔离就会使用到。

常见的eval和new Function可以提供一个运行外部代码的环境,但是没有解决访问全局的问题,配合with用法可以稍微限制,先从当前的with提供的查找,但是查找不到还是能从上获取:

function sandbox(code) {

    code= 'with (sandbox) {' + code + '}'

    return new Function('sandbox', code)

}

let str = 'let a = 10;console.log(a)'

sandbox(str)({})

可以打印。

而es6的proxy则可以解决这个问题,proxy可以设置访问拦截器,于是with再加上proxy几乎完美解决js沙箱机制。当然,还是有机制可以绕过,有大神发现Symbol.unScopables可以不受with的影响,所以要另外处理Symbol.unScopables:

function sandbox(code) {

    code = 'with (sandbox) {' + code + '}';

    const fn = new Function('sandbox', code);

    return (sandbox) => {

        const proxy = new Proxy(sandbox, {

            has(target, key) {

                return true;

            },

            get(target, key, receiver) {

                if (key === Symbol.unscopables) {

                    return undefined;

                }

            }

        });

        return fn(proxy);

    }

}

let str = 'let a = 10;console.log(a)'

sandbox(str)({})

报错。

这是目前js沙箱能做到的最好的沙箱机制了,很多会再加上iframe去做更多的限制,因为H5提出了iframe的sandbox属性,限制了更多,也可以进行配置解决这些限制。当然,想要绕过方法还是有的。而nodejs沙箱就很简单了,直接用内部提供的VM Module就可以了。感兴趣可以自己去查一查。

其实沙箱问题很多,解决修复这些方法也很多,感觉就是一堆大佬在博弈。这边想提一嘴,微前端概念其实就是用js创造一个类似iframe的沙箱,解决隔离问题,分别运行各个项目。所以现在沙箱使用也不一定都是安全机制,也会因为功能需求使用。常见的有快照沙箱和proxy沙箱。

wade3po
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS 构建沙箱环境sandbox
赵泽清的博客
03-22 2440
市面上现在流行两种沙箱模式,一种是使用iframe,还有一种是直接在页面上使用new Function + eval进行执行。 殊途同归,主要还是防止一些Hacker们 吃饱了没事干,收别人钱来 Hack 你的网站。 一般情况, 我们的代码量有60%业务+40%安全. 剩下的就看天意了。接下来,我们来一步一步分析,如果做到在前端的沙箱.文末 看俺有没有心情放一个彩蛋吧。直接嵌套这种方式说起来并不是什么特别好的点子,因为需要花费比较多的精力在安全性上. eval执行最简单的方式,就是使用eval进行代码的执行
页面嵌套时js失效解决方法
weixin_34291004的博客
06-20 867
事件:iframe或easyui的dialog嵌套页面时,被嵌套的页面可能js因位置失效; 解决: //动态加载js(根据父级html位置计算) jQuery.getScript("script/classTreeSelect.js", function(data, status, jqxhr) {/*加载完成可执行*/}); 转载于:https://www....
前端技术探索 - 你不知道的JS 沙箱隔离
最新发布
2401_84433974的博客
05-01 800
在了解了 JavaScript 沙箱的「前世今生」之后,我们将目光投回本文的主角——Web Worker 身上。function但在了解过微前端下 JavaScript 沙箱的实现过程后,我们不难发现几个在 Web Worker 下去实现微前端场景的 JavaScript 沙箱必然会遇到的几个难题:出于线程安全设计考虑,Web Worker 不支持 DOM 操作,必须通过 postMessage 通知 UI 主线程来实现。
js沙箱机制
weixin_43760238的博客
09-30 776
也就是说,激活方法中程序读取到的window对象,即为纯粹的window对象,我们需要对这个window对象附加/修改/移除,使得window对象变为当前应用使用的window对象;失活方法中程序代码中获取到的window对象,就是应用本身的window对象,我们需要对这个window对象附加/修改/移除,使得window对象变为纯粹的window对象。沙箱激活后至沙箱失活前,当前的window对象一定为当前应用使用的window(即纯粹的window对象+当前应用对window对象做出的修改)
2022-JavaScript - 什么是沙箱
itwangyang520的博客
12-02 467
是一种安全防护机制在计算机安全中,沙箱是一种用于隔离正在运行程序的安全机制,通常用于执行未经测试或不受信任的程序或者代码,它会为待执行的程序创建一个独立的执行环境,内部程序的执行不会影响到外部程序的执行。
<iframe />和<iframe ></iframe>引起的js不执行
honglin21
07-02 1110
在个某个页面中通过&lt;iframe  /&gt; 嵌入一个页面,结果发现在这个标签后的js代码不执行了,找了了就发现把&lt;iframe  /&gt;修改为&lt;iframe  &gt;&lt;/iframe&gt;后,此标签后的js正常执行了...
JS沙箱模式实例分析
10-19
主要介绍了JS沙箱模式,结合实例形式分析了JS沙箱模式的原理与实现方法,需要的朋友可以参考下
JS实现闭包中的沙箱模式示例
10-19
本示例通过创建一个自执行函数(Immediately Invoked Function Expression, IIFE)来演示如何在JS中实现闭包中的沙箱模式。 首先,沙箱模式的核心思想是封装,确保模块内部的变量和函数不直接暴露给全局作用域。在...
worker-sandbox:基于Web Workers的Javascript沙箱
05-16
工人沙盒 基于Web Workers的Javascript沙箱。用法安装 npm install --save worker-sandbox或者 yarn add worker-sandbox快速开始以构建runInContext函数为例: import Sandbox from 'worker-sandbox' // Import ...
secure-javascript-sandbox:安全JavaScript沙箱
04-05
安全JavaScript沙箱“构建一个简单的CLI工具,该工具可以在安全的隔离进程或线程中部署和运行任意JavaScript文件。” 我们希望以安全的方式执行不受信任的第三方JavaScript代码,并通过命令行界面(CLI)管理执行。 ...
js沙箱逃逸
middlecorn的博客
08-03 712
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。
js_sandbox:可以与JS一起玩的Java沙箱
03-08
js_sandbox 可以与JS一起玩的Java沙箱 这使用Node.js和Jest运行测试。 为了能够运行这些文件,请确保已安装Node.js,并使用npm来安装jest。 通过运行以下命令来npm run test : npm run test在命令行上npm run test 。
sandboxjs:像老板一样的沙盒node.js代码
05-24
沙箱 沙盒的node.js代码就像一个老板。 主要特征 在公共群集上运行代码。 您的代码完全被其他人的沙盒化了。 与您的配置文件集成。 支持返回Promises和/或调用节点样式的回调。 安装它 npm install sandboxjs # Optionally configure a default wt-cli profile 使用它 首先,使用获取一个webtask令牌: # Create a new wt-cli profile npm install -g wt-cli wt init # Or, if you already use wt-cli: wt profile ls var Assert = require ( 'assert' ) ; var Sandbox = require ( 'sandboxjs' ) ; // You can get your
Vue-Sandbox:使用VueJS存储很少的应用程序以通过实践学习的仓库。
05-10
Vue沙盒 一个使用VueJS 3存储很少的应用程序以通过实践学习的仓库...因为我将从2021年初开始学习Vue。 这是我关于此javascript框架的第一篇文章,所以请放纵...我将来使用此框架的技能和习惯可能会改变。 您还想学习VueJS吗? 以下资源可帮助我学习: 申请清单 你好,世界: 仅训练基本属性,例如v-if,v-bind,v-model,... DevDashoard: 包含有用和无用的小工具的应用程序包括: 已实现的小部件: 字符串状态:粘贴字符串并获取其统计信息(在开发具有有限字符字段的应用程序或编写测试数据时很有用) 回购信息:获取回购及其所有者的基本信息
JS沙盒实现
from_the_star的博客
08-10 1597
JS沙盒简述 沙盒(英语:sandbox,又译为沙箱),计算机术语,在计算机安全领域中是一种安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。 沙盒通常严格控制其中的程序所能访问的资源,比如,沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中,网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制。从这个角度来说,沙盒属于虚拟化的一种。 沙盒中的所有改动对操作系统不会造成任何损失。通常,这种技术被计算机技术人员广泛用于测试可能带毒的程
腾讯一面:你了解js沙箱环境吗?
Perback的博客
04-18 765
JavaScript 的沙箱环境是一种隔离执行环境,允许运行和测试代码而不干扰主应用程序的状态或数据。它通过限制代码访问全局变量和函数,提供了一个安全的方式来执行不信任的代码,避免潜在的安全风险和数据泄露。沙箱环境对于保护应用程序免受恶意代码或不确定性代码影响至关重要。
Shadow DOM 样式隔离 &&js沙箱&&qiankun
小漠007的专栏
08-24 1867
这种方法可能使用于中台这种嵌套其他子应用的场景,目前没遇到其他使用场景或有更好的解决方案不管是link导入的样色还是标签样色都可以被隔离,不影响shadow dom外层的样色。
前端技术 — 关于JS沙箱JS隔离)的几种方案带来的思考和展望
@惊蛰的博客
08-09 3384
背景介绍: 从第五代标准HTML推广发布后,其中工作线程(Web Worker)概念的推出让人眼前一亮,但未曾随之激起多大的浪花,并被在其随后工程侧的 Angular、Vue、React 等框架的「革命」浪潮所淹没。 但自从2019 年爆火的微前端架构的出现,基于微应用间 JavaScript 沙箱隔离的需求,Web Worker 才得以重新从边缘化的位置跃入到我的中心视野。 什么是JS沙箱: 在现实与 JavaScript 相关的场景中,我们知道平时使用的浏览器就是一个沙箱,运行在浏览器中的 JavaSc
为 Node.js 应用建立一个更安全的沙箱环境
qq_44005305的博客
02-13 337
在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚本,FireFox 的「油猴脚本」,能够让用户发在可控的范围和权限内发挥想象做一些好玩、有用的事情,扩展了能力,满足用户的个性化需求。与运行在「用户电脑中」的客户端应用不同,用户的自定义脚本通常只能影响用户自已,而对于在线的应用或服务来讲,有一些情况就变得更为重要,比如「安全」,用户的「自定义脚本」必须严格受到限制和隔离,即不能影响到宿主程序,也不能影响到其它用户。
nodejs沙箱逃逸
09-11
node.js沙箱逃逸是指攻击者利用特定的漏洞或技术手段,成功越过node.js沙箱限制,实现对主机环境的非法操作或访问。在node.js中,沙箱被用来隔离有害程序,防止其影响到主机环境。通过沙箱,可以将程序与程序之间、程序与主机之间互相分隔开。 具体来说,沙箱逃逸利用的是node.js中的漏洞或不当的配置,使攻击者能够绕过沙箱的限制,执行恶意代码或访问敏感资源。攻击者可能通过构造精心设计的输入,触发沙箱漏洞,从而获得对主机环境的不受限制的访问权限。 为了防止沙箱逃逸,需要及时更新node.js版本,以修复已知的漏洞。此外,也可以采取其他安全措施,如限制代码的执行权限,限制访问敏感资源的权限等。同时,编写安全的代码也是非常重要的,避免在代码中存在漏洞可供攻击者利用。 总结来说,node.js沙箱逃逸是指攻击者利用漏洞或技术手段,成功绕过node.js沙箱限制,实现对主机环境的非法操作或访问。为了防止沙箱逃逸,需要及时更新node.js版本,采取其他安全措施,并编写安全的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值