web前端|js教程
javascript,Node.js,步骤
web前端-js教程node官方文档里提到node的vm模块可以用来做沙箱环境执行代码,对代码的上下文环境做隔离。
便捷文章源码,vscode设置jdk环境,ubuntu 凤凰系统,tomcat 并发 替代,sqlite表添加一列,猫影视的爬虫源怎样输入,php 图片滚动,简单seo教学打广告,jq 网站头部大图,ps网页制作模块的快捷键,教育培训门户网站模板下载lzw
\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.
易语言网云源码,ubuntu安装黑屏鼠标,服务器上tomcat闪退,爬虫教学视频讲座,php可以异步插入数据库吗,seo七模型lzw
先看一个例子
asp视频会议源码,ubuntu卸载华为助手,项目查看tomcat端口号,爬虫文字乱码,PHP集成环境宝塔下载,金堂seo收费lzw
const vm = require(vm);let a = 1;var result = vm.runInNewContext(var b = 2; a = 3; a + b;, {a});console.log(result); // 5console.log(a);// 1console.log(typeof b); // undefined
沙箱环境中执行的代码对于外部代码没有产生任何影响,无论是新声明的变量b,还是重新赋值的变量a。 注意最后一行的代码默认会被加上return关键字,因此无需手动添加,一旦添加的话不会静默忽略,而是执行报错。
const vm = require(vm);let a = 1;var result = vm.runInNewContext(var b = 2; a = 3; return a + b;, {a});console.log(result);console.log(a);console.log(typeof b);
如下所示
evalmachine.:1var b = 2; a = 3; return a + b; ^^^^^^SyntaxError: Illegal return statement at new Script (vm.js:74:7) at createScript (vm.js:246:10) at Object.runInNewContext (vm.js:291:10) at Object. (/Users/xiji/workspace/learn/script.js:3:17) at Module._compile (internal/modules/cjs/loader.js:678:30) at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10) at Module.load (internal/modules/cjs/loader.js:589:32) at tryModuleLoad (internal/modules/cjs/loader.js:528:12) at Function.Module._load (internal/modules/cjs/loader.js:520:3) at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
除了runInNewContext外,vm还提供了runInThisContext和runInContext两个方法都可以用来执行代码 runInThisContext无法指定context
const vm = require(vm);let localVar = initial value;const vmResult = vm.runInThisContext(localVar += "vm";);console.log(vmResult:, vmResult);console.log(localVar:, localVar);console.log(global.localVar);
由于无法访问本地的作用域,只能访问到当前的global对象,因此上面的代码会因为找不到localVal而报错
evalmachine.:1localVar += "vm";^ReferenceError: localVar is not defined at evalmachine.:1:1 at Script.runInThisContext (vm.js:91:20) at Object.runInThisContext (vm.js:298:38) at Object. (/Users/xiji/workspace/learn/script.js:3:21) at Module._compile (internal/modules/cjs/loader.js:678:30) at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10) at Module.load (internal/modules/cjs/loader.js:589:32) at tryModuleLoad (internal/modules/cjs/loader.js:528:12) at Function.Module._load (internal/modules/cjs/loader.js:520:3) at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
如果我们把要执行的代码改成直接赋值的话就可以正常运行了,但是也产生了全局污染(全局的localVar变量)
const vm = require(vm);let localVar = initial value;const vmResult = vm.runInThisContext(localVar = "vm";);console.log(vmResult:, vmResult); // vmconsole.log(localVar:, localVar); // initial valueconsole.log(global.localVar);// vm
runInContext在传入context参数上与runInNewContext有所区别 runInContext传入的context对象不为空而且必须是经vm.createContext()处理过的,否则会报错。 runInNewContext的context参数是非必须的,而且无需经过vm.createContext处理。 runInNewContext和runInContext因为有指定context,所以不会向runInThisContext那样产生全局污染(不会产生全局的localVar变量)
const vm = require(vm);let localVar = initial value;const vmResult = vm.runInNewContext(localVar = "vm";);console.log(vmResult:, vmResult); // vmconsole.log(localVar:, localVar); // initial valueconsole.log(global.localVar);// undefined
当需要一个沙箱环境执行多个脚本片段的时候,可以通过多次调用runInContext方法但是传入同一个vm.createContext()返回值实现。
超时控制及错误捕获
vm针对要执行的代码提供了超时机制,通过指定timeout参数即可以runInThisContext为例
const vm = require(vm);let localVar = initial value;const vmResult = vm.runInThisContext(while(true) { 1 }; localVar = "vm";, { timeout: 1000});
vm.js:91 return super.runInThisContext(...args);^Error: Script execution timed out. at Script.runInThisContext (vm.js:91:20) at Object.runInThisContext (vm.js:298:38) at Object. (/Users/xiji/workspace/learn/script.js:3:21) at Module._compile (internal/modules/cjs/loader.js:678:30) at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10) at Module.load (internal/modules/cjs/loader.js:589:32) at tryModuleLoad (internal/modules/cjs/loader.js:528:12) at Function.Module._load (internal/modules/cjs/loader.js:520:3) at Function.Module.runMain (internal/modules/cjs/loader.js:719:10) at startup (internal/bootstrap/node.js:228:19)
可以通过try catch来捕获代码错误
const vm = require(vm);let localVar = initial value;try { const vmResult = vm.runInThisContext(while(true) { 1 }; localVar = "vm";, { timeout: 1000 });} catch(e) { console.error(executed code timeout);}
延迟执行
vm除了即时执行代码之外,也可以先编译然后过一段时间再执行,这就需要提到vm.Script了。其实无论是runInNewContext、runInThisContext还是runInThisContext,背后其实都创建了Script,从之前的报错信息就可以看出来 接下来我们就用vm.Script来重写本文开头的例子
const vm = require(vm);let a = 1;var script = new vm.Script(var b = 2; a = 3; a + b;);setTimeout(() => { let result = script.runInNewContext({a}); console.log(result); // 5 console.log(a);// 1 console.log(typeof b); // undefined}, 300);
除了vm.Script,node在9.6版本中新增了vm.Module也可以做到延迟执行,vm.Module主要用来支持ES6 module,而且它的context在创建的时候就已经绑定好了,关于vm.Module目前还需要在命令行使用flag来启用支持
node --experimental-vm-module index.js
vm作为沙箱环境安全吗?
vm相对于eval来说更安全一些,因为它隔离了当前的上下文环境了,但是尽管如此依然可以访问标准的JS API和全局的NodeJS环境,因此vm并不安全,这个在官方文档里就提到了
The vm module is not a security mechanism. Do not use it to run untrusted code
请看下面的例子
const vm = require(vm);vm.runInNewContext("this.constructor.constructor( eturn process)().exit()")console.log("The app goes on...") // 永远不会输出
为了避免上面这种情况,可以将上下文简化成只包含基本类型,如下所示
let ctx = Object.create(null);ctx.a = 1; // ctx上不能包含引用类型的属性vm.runInNewContext("this.constructor.constructor( eturn process)().exit()", ctx);
针对原生vm存在的这个问题,有人开发了vm2包,可以避免上述问题,但是也不能说vm2就一定是安全的
const {VM} = require(vm2);new VM().run( his.constructor.constructor("return process")().exit());
虽然执行上述代码没有问题,但是由于vm2的timeout对于异步代码不起作用,所以下面的代码永远不会执行结束。
const { VM } = require(vm2);const vm = new VM({ timeout: 1000, sandbox: {}});vm.run( ew Promise(()=>{}));
即使希望通过重新定义Promise的方式来禁用Promise的话,还是一个可以绕过的
const { VM } = require(vm2);const vm = new VM({ timeout: 1000, sandbox: { Promise: function(){}}});vm.run(Promise = (async function(){})().constructor;new Promise(()=>{}););
