浅析 Node.js 的 vm 模块以及运行不信任代码

最新推荐文章于 2023-01-04 20:51:37 发布
置顶 最新推荐文章于 2023-01-04 20:51:37 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 技术干货 文章标签: node.js vm JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunbaIO/article/details/54924503
版权
本文探讨了Node.js的vm模块,用于运行用户提供的JavaScript代码。通过vm模块,我们可以创建代码实例并指定执行上下文。然而,运行不信任的代码可能引发安全问题,如内存泄漏和权限滥用。解决方案包括限制代码运行时间、定制执行环境以及使用如vm2这样的安全沙箱。文章还提到,结合子进程和底层资源限制可以提高安全性。
摘要由CSDN通过智能技术生成

在一些系统中,我们希望给用户提供插入自定义逻辑的能力,除了 RPCREST 之外,运行客户提供的代码也是比较常用的方法,好处是可以极大地减少在网络上的耗时。JavaScript 是一种非常流行而且容易上手的语言,因此,让用户用 JavaScript 来写自定义逻辑是一个不错的选择。下面我们介绍 Node.js 提供的 vm 模块以及分析用它来运行不信任代码可能遇到的问题。

vm 模块

vm 模块是 Node.js 内置的核心模块,它能让我们编译 JavaScript 代码和在指定的环境中运行。请看下面例子: 

const util = require('util');
const vm = require('vm');

// 1. 创建一个 vm.Script 实例, 编译要执行的代码
const script = new vm.Script('globalVar += 1; anotherGlobalVar = 1; ');
// 2. 用于绑定到 context 的对象
const sandbox = {globalVar: 1};
// 3. 创建一个 context, 并且把 sandbox 这个对象绑定到这个环境, 作为全局对象
const contextifiedSandbox = vm.createContext(sandbox);
// 4. 运行上面编译的代码, context 是 contextifiedSandbox
const result = script.runInContext(contextifiedSandbox);

console.log(`sandbox === contextifiedSandbox ? ${sandbox === contextifiedSandbox}`);
// sandbox === contextifiedSandbox ? true
console.log(`sandbox: ${util.inspect(sandbox)}`);
// sandbox: { globalVar: 2, anotherGlobalVar: 1 }
console.log(`result: ${util.inspect(result)}`);
// result: 1

vm.Script 是一个类,用于创建代码实例,后面可以多次运行。

vm.createContext(sandbox) 用于 “contextify” 一个对象,根据

最低0.47元/天 解锁文章
yunbaIO
关注
专栏目录
浅析当下的 Node.js CommonJS 模块系统
tzllxya的博客
05-30 434
浅析当下的 Node.js CommonJS 模块系统 在 ES2015 标准之前,JavaScript 语言没有原生的组织代码的方式。Node.js 用 CommonJS 模块规范填补了这个空白。我想通过这篇文章和大家分享一下当下的 CommonJS 模块系统的一些机制和细节。 在写这篇文章的时阅读代码 Node.js 版本是 v10.0.0 全文共由三个部分组成: 什么是模块系统...
nodevm(虚拟机),改变运行的环境
longtengg1的博客
05-08 1229
vm文档 node文档中对vm的解释是: vm 模块提供了一系列 API 用于在 V8 虚拟机环境中编译和运行代码JavaScript 代码可以被编译并立即运行,也可以编译、保存然后再运行。 同时node文档中提醒: vm模块并不是实现代码安全性的一套机制。 绝不要试图用其运行未经信任代码. vm模块允许改变一些JavaScript脚本代码的上下文运行环境。但是这些代码仍然是运行nodejs应用程序的当前进程中。从这个角度来说,vm的功能有些类似于eval函数,但是vm模块提供了一些eval函数所不
node.js--vm沙箱逃逸初探
最新发布
m0_62422842的博客
01-04 2092
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3117
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM不安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM的安全问题。 ..
Node.js VM模块
司马懿的西山居
09-29 7285
vm模块在V8虚拟机上下文中提供了编译和运行代码的API
新建VM_Script
weixin_34301307的博客
11-15 103
  在Hyper-V群集中,不需要设置VM的自启动,当宿主机意外关机重新启动后,上面的VM会自动转移到另一台主机;如果另一台主机处于关机状态,则宿主机重新启动后,其VM也会自启动(如果其VM在宿主机关机前已处于关机状态,则不会自启动)   # Get-Module -ListAvailable #导入VMM管理模块#Import-Module -Name virtualmachinemana...
浅析node.js模块加载机制
10-18
为了安全地执行代码Node.js提供了vm模块(虚拟机模块),通过这个模块可以创建一个安全的上下文环境,运行代码而不影响全局作用域。这在处理不受信任代码时尤其重要。例如,以下代码演示了如何在vm模块中安全...
浅析Node.js中使用依赖注入的相关问题及解决方法
10-24
Node.js是一种流行的服务器端JavaScript运行环境,它允许开发者使用JavaScript语言来编写服务器端应用程序。依赖注入是一种设计模式,它允许将依赖项注入到需要它们的代码模块中,而不是由模块自己创建。这种模式有...
Node.js API详解之 vm模块用法实例分析
10-15
主要介绍了Node.js API详解之 vm模块用法,结合实例形式分析了Node.js API中vm模块基本功能、函数、使用方法及相关操作注意事项,需要的朋友可以参考下
vm2:Node.js的高级vmsandbox
02-04
虚拟机2 vm2是一个沙箱,可以与列入白名单的Node的内置模块一起运行不受信任代码。 放心! 产品特点 与您的代码并排在单个进程中安全地运行不受信任代码 完全控制沙箱的控制台输出 沙盒对流程方法的访问权限有限 沙盒可能需要模块(内置和外部) 您可以限制对某些(或全部)内置模块的访问 您可以安全地调用方法,并在沙箱之间交换数据和回调 对所有已知的攻击方法都免疫 转运支持 它是如何工作的 它使用内部VM模块创建安全上下文 它使用来防止逃逸沙箱 它覆盖了控制访问模块的内置要求 Nodevmvm2有什么区别? 自己尝试: const vm = require ( 'vm' ) ;
NodeJs中的VM模块详解
10-24
主要介绍了NodeJs中的VM模块详解,本文讲解了什么是VM?、VM模块的runInThisContext、runInThisContext方法等内容,需要的朋友可以参考下
nodejsVM的demo
11-14
nodejsVM的demo
nodejs VM简析
weixin_34062329的博客
01-29 242
s 转载于:https://www.cnblogs.com/yourstars/p/8379966.html
【web安全系列】(一)浏览器安全
weixin_34261415的博客
05-31 472
作为一个web开发人员,浏览器安全是不可或缺的知识。一方面,浏览器天生就是一个客户端,如果具备了安全功能,就可以像安全软件一样对用户上网起到很好的保护作用;另一方面,浏览器安全也成为浏览器厂商之间竞争的一张底牌,浏览器厂商希望能够针对安全简历技术门槛,已获得竞争优势。 本文将给大家介绍一下浏览器的安全功能 同源策略 同源策略(Same o...
浏览器安全
WalterBailey's Blog
04-21 588
文章目录浏览器安全同源策略浏览器中JavaScript的同源策略浏览器沙箱采用多进程架构方案沙箱架构隐忧恶意网址拦截两类恶意网址:黑名单EV SSL证书高速发展的浏览器安全小结 浏览器安全 近年来随着互联网的发展,人们发现浏览器才是互联网最大的入口,绝大多数用户使用互联网的工具是浏览器。因此浏览器市场的竞争也日趋白热化。浏览器安全在这种激烈竞争的环境中被越来越多的人所重视。一方面,浏览器天生就是...
[node审计]nodevm2
anwen12的博客
09-23 1587
nodevm运行流程 vm2其实是在vm的基础上进行二次开发所形成的一个沙箱运行环境,所以在内部本身的实现还是调用的是vm的机制。 要了解这部分知识必须先了解proxy:https://es6.ruanyifeng.com/?search=weakmap&x=0&y=0#docs/proxy 0x01 vm api 对应的别人的代码就是 const vm = require('vm'); const context = { animal: 'cat', count: 2 };//
网络安全(三)浏览器安全
weixin_42962634的博客
12-24 1396
近几年来随着互联网的发展,人们发展浏览器才是互联网最大的入口,绝大多数用户使用互联网的工具是浏览器。因此浏览器市场的竞争也日趋白热化。 浏览器安全在这种激烈竞争的环境中被越来越多的人所重视。一方面,浏览器天生就是一个客户端,如果具备了安全功能,就可以像安全软件一样对用户上网起到很好的保护作用;另一方面,浏览器安全也成为浏览器厂商之间竞争的一张底牌,浏览器厂商希望能够针对安全建立起技术门槛,以此获得竞争优势。
高并发实时直播弹幕研发实践
Yunba.io 的博客
11-07 6893
云巴是基于MQTT协议实现的实时通信系统,采用Erlang/OTP的架构设计。简单地来说,云巴实时系统的设计包括多层结构、微服务两个要点。
模拟实现Node.js Events模块浅析与实战
Node.js中,Events模块是核心API的一部分,它提供了事件驱动编程的基础。事件驱动设计模式是Node.js异步非阻塞I/O模型的核心,使得程序能够高效地处理大量并发请求。Events模块主要包含两个关键方法:`on` 和 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值