我想知道是否可以对在浏览器中运行的JavaScript进行沙盒处理，以防止访问通常可用于在HTML页面中运行的JavaScript代码的功能。例如，假设我想为最终用户提供一个JavaScriptAPI，让他们定义在“有趣的事件”发生时运行的事件处理程序，但我不希望这些用户访问窗口对象。我能做到吗？在最简单的情况下，假设我想阻止用户调用alert。我能想到的几种方法是:全局重新定义window.alert。我认为这不是一种有效的方法，因为页面中运行的其他代码(即，不是由用户在其事件处理程序中编写的内容)可能需要使用alert。将事件处理代码发送到服务器进行处理。我不确定将代码发送到服务器

我正在为视频流创建基于nodewebkit和webrtc的桌面应用程序。创建时，我尝试使用getusermediaAPI，但在我的Linux机器上出现以下错误。[15464:0224/125017:ERROR:browser_main_loop.cc(162)]RunningwithouttheSUIDsandbox!Seehttps://code.google.com/p/chro...formoreinformationondevelopingwiththesandboxon.ATTENTION:defaultvalueofoptionforce_s3tc_enableoverri

我正在寻找产生一个过程的概念，这样:它只能访问某些库/API它不能访问文件系统或只能访问特定部分如果在其中运行恶意代码，它可以造成最小危害这个概念被称为沙箱或jail。需要为每个主要操作系统(Windows、MacOSX和Linux)执行此操作，并且问题是概念性的(例如要做什么、要使用哪些API以及使用什么)观察)而不是特定语言。回答要求我真的想接受一个答案并为此给你20分。我不能接受我自己的答案，反正我还没有。因此，如果您真的希望您的回答被接受，请注意:答案必须具体和完整具体指的是它不仅仅是指向Internet上某些资源的指针。它必须至少总结资源对主题的看法。它可能包含也可能不包含示

我习惯使用python的virtualenv工具创建单独的环境，这些环境可以模拟我编写的项目的部署环境。现在，我将从事一个php项目，我想知道是否有任何类似的项目？具体来说，我希望能够使用一个(旧)版本的php在apache上运行一个虚拟主机，而其他一切都在正常的最新版本上运行。我的开发机器运行的是ubuntu11.04，因此可以在该平台上运行的解决方案是首选。 最佳答案 假设您使用的是mod_php，则无法将多个不同的版本加载到同一个Apache实例中。如果您将PHP作为CGI或FastCGI运行，则可以运行多个不同的版本，但这本

我希望能够让用户提交任意JavaScript代码，然后将其发送到Node.JS服务器并在输出被发送回多个客户端(作为JSON)之前安全地执行。我想到了eval函数，但我知道这有多个安全问题(用户提交的代码将能够访问Node的FileAPI等)。我见过一些项目，如MicrosoftWebSandbox和GoogleCaja，它们允许执行经过清理的标记和脚本(用于在网站上嵌入第三方广告)，但似乎这些是客户端工具，我不确定它们是否可以在Node中安全使用。是否有一种标准方法可以在Node中沙箱并执行不受信任的JavaScript以获取输出。尝试在服务器端执行此操作是错误的吗？编辑:用户能够利

有哪些选项可以安全地在node.js中运行(可能是恶意的)用户提交的脚本？IE。在阻止代码访问敏感数据和API的环境中？vm.runInNewContext(userScript,{})是一个诱人的起点……但似乎有knownissues在那里。sandboxmodule看起来很有趣，但也使用runInNewContext()所以我有点怀疑。 最佳答案 您应该始终在单独的进程中运行不受信任的代码，这正是沙盒模块所做的。一个简单的原因是vm.runInNewContext('while(true){}',{})会卡住Node。它首先生成

这个问题在这里已经有了答案:HowcanIsandboxPythoninpurePython?(7个回答)关闭9年前。我想创建一个网站，人们可以上传他们的Python脚本。当然，我想执行这些脚本。这些脚本应该做一些有趣的工作。问题是人们可以上传可能损害我的服务器的脚本，我想阻止这种情况。在不损害我的系统的情况下运行任意脚本的选项是什么——实际上根本看不到我的系统？谢谢 最佳答案 “做不到。”运行任意(不受信任的)脚本和保持安全是矛盾的。您应该尽可能使用自定义内核、jails、vms等。你可以看看http://codepad.org/

由于Oracle的最新更改，我似乎必须签署一个小程序，即使我不需要或不希望它可以不受限制地访问用户的计算机(这就是它当前未签名的原因)。特别是，我不希望它们为已签名的小程序显示警告:Thisapplicationwillrunwithunrestrictedaccesswhichmayputyourcomputerandpersonalinformationatrisk....这会吓到使用它的人。是否可以对小程序进行签名但以某种方式将其标记为“但继续使用沙盒”？我签署它的唯一原因是，从第7版更新40开始，Oracle进一步增加了运行未签名小程序时必须处理的唠叨用户。过去，您可以选中一个

支付宝，对接沙箱支付（vue2+node.js+mysql）支付宝沙箱环境，点击进入登录，按自己实际信息填写1.扫码登录，进入后如图2.进入沙箱，可以看到自己的账号（如下配置）配置系统默认密钥（需要下载工具）密钥下载工具配置依照自己系统，自行选择下载配置支付宝开放平台密钥工具生成密钥后，不要关闭程序，在页面沙箱哪里配置系统密钥如下图所示，点击启用，系统会自行校对配置好后，可以自行，点击查看，生成的密钥这里主要是，下面选择，按自己选择就好，前端就选非java沙箱就创建ok了,下面我使用node.js进行对接（一堆坑）先看下，成品后的，拿串链接，就是后台返回的路径node.js中，自行，创建项目，

我们的部分java应用程序需要运行由非开发人员编写的javascript。这些非开发人员正在使用javascript进行数据格式化。(主要是简单的逻辑和字符串连接)。我的问题是如何设置这些脚本的执行，以确保脚本错误不会对应用程序的其余部分产生重大负面影响。需要防范无限循环防止产生新线程。限制对服务和环境的访问文件系统(例如:如果一个心怀不满的脚本编写者决定删除文件)数据库(同样删除数据库记录)基本上，我需要将javascript范围设置为仅包含他们需要的内容，而不再包含更多内容。 最佳答案 为了防止无限循环，您可以在脚本运行时观察指