简单了解 sandbox 沙盒

最新推荐文章于 2025-03-10 20:04:19 发布
最新推荐文章于 2025-03-10 20:04:19 发布
阅读量2k 收藏 4
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682449/article/details/119389013
版权
本文介绍了操作系统及浏览器层面的沙盒技术原理,以Chromium为例详细解释了多进程架构下如何通过沙盒保护renderer进程,同时对比了沙盒技术和主动防御技术的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.操作系统和浏览器层面的沙盒:

操作系统层面的沙盒的含义就是操作系统对进程的可访问的内存地址所做的限制,限制进程可访问的内存在其被分配的内存地址区间内,而不允许操作其他的内存地址,从而提供安全层面的防护。

浏览器层面的沙盒本质原理没多大变化,实践层面可能会根据浏览器环境有所变化,比如限制脚本操作本页面之外的其他页面的DOM,限制访问非同源文档,限制向非同源服务器发送ajax等等,目的依然是安全。

以chromium为例。chromium是多进程架构,浏览器前端界面由browser进程管理,各个web page的tab属于renderer进程管理。chromium的sandbox是将renderer进程作为防护对象。browser进程会给每个renderer进程分配资源,但这些renderer进程只能访问被分配的资源,不能访问未被分配的资源。这里资源的概念比较广泛,具体到可访问的DOM(对应内存中的对象),或抽象到origin scope等。实现层面的话,可以类比Linux下文件系统的权限位,浏览器会对每个web page实现对应的权限位,w3c HTML规范里 Sandbox 有相关内容。

引用:https://www.zhihu.com/question/20026752/answer/138913400

2.沙盒技术与主动防御技术原理截然不同

主动防御是发现程序有可疑行为时立即拦截并终止运行。
沙盒技术是发现可疑行为后让程序继续运行,当发现的确是病毒时才会终止。

沙盒技术的实践运用流程是:让疑似病毒文件的可疑行为在虚拟的“沙盒”里充分表演,“沙盒”会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,“沙盒”就会执行“回滚”机制:将病毒的痕迹和动作抹去,恢复系统到正常状态。

引用:https://www.zhihu.com/question/20026752/answer/13849683

GGYY.
关注
数据箱技术Sandbox
m0_59777389的博客
12-09 4541
‌‌数据箱是一种用于隔离和管理数据分析环境的虚拟环境‌。数据箱是一种隔离环境,它允许用户在其中运行程序和处理数据,而不会影响到外部系统或数据的安全性。通过使用虚拟化技术、访问控制技术和防躲避技术,数据箱能够确保可疑文件或程序在隔离环境中运行,从而保护主机和操作系统免受病毒和未知威胁的侵害。利用虚拟化技术在本地或云端构建数据隔离环境(即“数据箱”),允许用户在箱内对数据进行分析处理,但原始数据始终保持在安全边界内。箱是一种用于隔离和管理网络环境的虚拟环境。
简单掌握iOS应用开发中sandbox的使用
01-20
在iOS应用开发中,了解和熟练使用Sandbox机制是非常关键的一环。Sandbox是一种安全机制,旨在限制应用程序的权限,确保它们只能访问属于自己的特定区域,而不能侵犯其他应用或系统的隐私。为每个应用提供了...
SandBox
小小程序猿
12-22 686
每个App都有自己的,也就是一个存储空间。App之间没有权限访问对方的资源。的目录下有三个文件夹:Documents、Library、temp目录结构 * Documents:用于存储用户数据,iTunes备份和恢复的时候会包括此目录,所以,苹果建议将程序中建立的或在程序中浏览到的文件数据保存在该目录下。 * Documents/Inbox:主要用来存放其他程序请求当前程序打开的文件
自定义Windows Sandbox(一)
xnxqwzy的博客
03-10 1033
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
JVM SandBox实现原理详解
hxt的博客
04-29 5884
1、什么是JVM SandBox JVM SandBox箱)实现了一种非侵入式运行期的AOP解决方案。JVM SandBox属于基于Instrumentation的动态编织类的AOP框架,可以在不重启应用的情况下,在运行时完成目标方法的增强和替换,同时箱以及箱的模块可以随时加载和卸载 主要特性如下: 无侵入:目标应用无需重启也无需感知箱的存在 类隔离:箱以及箱的模块不会和目标应用的类相互干扰 可插拔:箱以及箱的模块可以随时加载和卸载,不会在目标应用留下痕迹 多租户:目标应用可以同时挂载不
SandBox
weixin_30642029的博客
04-07 188
:应用程序之间互相隔离 应用程序只能访问自己本地的内容,不能访问其他app文件目录(越狱手机除外) 为应用程序有自己的缓存和备份数据 写法:NSString* homeDirectory = NSHomeDrirectory(); NSString* appPath = [[NSBundle mainBundle]bundlePath]; 1.获得文件中的文件 项目中的资源文件...
sandbox
hyt1211的专栏
05-30 652
iOS应用程序只能在为该改程序创建的文件系统中读取文件,不可以去其它地方访问,此区域被成为,所以所有的非代码文件都要保存在此,例如图像,图标,声音,映像,属性列表,文本文件等。 目录结构 默认情况下,每个含有3个文件夹:.app,Documents, Library 和 tmp。 因为应用的机制,应用只能在几个目录下读写文件 Documents:苹果建议将程序中建立的或
阿里JVM SANDBOX原理
xidianhuihui的专栏
03-11 1922
一、前言 在开始之前,我们先来模拟一下以下的场景: 小李:“小明,你的接口没有返回数据,麻烦帮忙看一下?” 小明:“我这边的数据也是从别人的服务器中拿到的,但是我不确定是因为逻辑处理有问题导致没有结果,还是因为我依赖的服务有问题而没有返回结果,我需要确认一下。” 小明:“哎呀,线上没有日志,我需要加个日志上个线。” 30 分钟之后…… 小明:“不好意思,日志加错地方了……稍等……” 接来下隆重登场的就是本文的主角 JVM SandBox 了。基于 JVM SandBox,我们可以很容易地做到在不重新部署应用
sandbox源码
06-24
sandbox源码】是开源项目,旨在提供一个安全的环境,用于隔离和执行不受信任的代码。这个环境被称为“”,因为它的设计灵感来源于儿童玩耍的箱,即在有限制的区域内自由活动,但不会影响到外部世界。在...
iOS_SandBox路径获取
01-22
在iOS应用开发中,""(Sandbox)是一个重要的概念,它是每个应用程序的专属运行环境,确保了不同应用之间的数据隔离和安全性。每个iOS应用都有自己的目录,包含若干子目录,用于存储应用的数据、缓存、文档...
sandbox:
03-26
在IT领域,"sandbox"()是一个重要的概念,特别是在软件开发、安全性和系统测试中。是一种环境,允许程序在其中运行而不影响系统的其他部分,它为开发者提供了一个安全的实验空间,可以尝试新的代码或功能...
iOS机制简介
08-10
该文档简述了在iOS开发过程中,机制的概念以及优势。
PaaS Sandbox 实现原理分析
Hello World!
12-25 897
原文 http://www.phpweblog.net/GaRY/archive/2012/09/12/PaaS_Sandbox.html PaaS Sandbox 实现原理分析 一、  云计算很火,各种云的实现方式也分为很多个流派。但是无论怎么变,基本类型是有的,主要分为SaaS,PaaS,IaaS。而平时大家接触较多的PaaS(也就是GAE,SAE等类似在线开发平台),是
Windows sandbox,一款炒鸡好用的软件!
最新发布
dzqxwzoe的博客
03-10 548
不知大家有没有过下载一些冷门软件的经历…比如说我下载一个ERP盘模拟系统软件,百度一搜,随便点进去一个,它是这样的网页。说实话,这种下载平台就是第三方的,里面的软件一般都带有奇奇怪怪的东西。比如下载完之后,广告弹窗来了…或者桌面上多了一个奇怪的游戏图标…额…再看看任务栏的托盘处 什么lu大师、金山某霸、234*安全卫士…完全跟我们想要的软件一点都不相关!下载下来的东西完全就是一个各种流氓软件的集合安装程序= =。
sandbox 操作及相关知识点
Ysam1983的专栏
04-01 1371
最近项目需要应用中集成了个cocoahttpserver服务,开发中一直用ios6真机调试的,但兼容ios7真机时就不行了,结果发现是把web的html等其他文件放到xxx.app目录下缘故,导致服务取不到path值,后来把web文件夹copyItemAtPath到documents根目录下就OK了。原因有个安全机制--------- 因为应用的机制,应用只能在几个目录下读写文件
Windowssandboxie-plus工作原理及安装使用指导
专注于全栈开发领域
04-14 1万+
Sandboxie是一款安全软件,也被称为箱。它的主要功能是创建一个隔离的虚拟环境,用户能够在其中运行或安装应用程序,而不会对本地系统造成永久性的修改。这对于测试不受信任的程序、防止恶意软件入侵以及保护个人数据非常有用。Sandboxie通过创建隔离的虚拟环境,帮助用户保护系统免受恶意软件和未经授权的更改。它提供了一种安全的方式来测试不受信任的程序和浏览网页,同时保护用户的个人数据和系统安全。通过使用Sandboxie,用户可以在相对安全的环境中运行各种应用程序,而无需担心对实际系统造成损害。
SandBox基本机制
heqinnn的博客
05-20 922
此处省略app.h/.m main.h // //  MainViewController.m //  UI16_SandBox // //  Created by NinGery on 15/5/20. //  Copyright (c) 2015年 mac. All rights reserved. // #import "Mai
Chromium Sandbox源码介绍(1)
杰克东的专栏
10-22 1371
if (!////对应如图:其实最核心的就是利用CreateProcessAsUserW函数 指定用户token 桌面 环境变量 job,然后来限制子进程的权限。
简单说说容器/(Sandbox)以及Linux seccomp
热门推荐
TCP/IP
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值