我正在尝试使用沙盒模块在 linux + node.js 中运行不受信任的 javascript 代码,但它已损坏,我所需要的只是让用户编写打印出一些文本的 javascript 程序。不允许其他 i/o,只使用普通的 javascript,没有其他 Node 模块。 如果它真的不可能做到,你建议用什么其他语言来完成这种任务?我需要的最小功能集是一些数学、正则表达式、字符串操作和基本的 JSON 函数。 脚本将运行 5 秒,然后进程将被终止,我该如何实现?
最佳答案
我在此类问题中看到的所有库(vm2、jailed)都试图隔离 node 进程本身。这类“ jail ”不断被打破,并且高度依赖于 future 对 node 标准库的升级,以免暴露另一个攻击媒介。
另一种方法是直接使用 V8::Isolate 类。它旨在隔离 Google Chrome 和 node 中的 JavaScript,因此您可以期望它得到完全维护,并且比您、我或单个库维护者能够做到的更安全。
这个类只能运行“纯”JavaScript。它具有完整的 ECMAScript 实现,但没有浏览器 API 或 node API。
这就是 Cloudflare 用于他们的 Worker 的内容。产品。
deno ,由 node 的创建者开发的新语言,其野心是在默认情况下使用完全相同的东西进行沙箱化,并根据您启用的标志公开标准库的部分内容。
在node环境,可以使用isolated-vm .这是一个了不起的库,它可以使用您要单独运行的代码创建 v8::Isolated 子进程。
它提供了将值和函数传递给隔离和返回的方法。这并不像大多数“ jail ”库那样简单易用,但可以保证 JavaScript 代码的实际沙盒。
由于它是“纯”JavaScript,因此唯一的转义是您以注入(inject)函数的形式提供的转义。
此外,它会随着每个 node 版本自动更新,因为它使用 node 自己的 v8::Isolate。
主要的痛点之一是,如果您想在脚本中注入(inject)库,您可能需要使用像 webpack 这样的包 bundler ,以便将所有内容捆绑在一个脚本中,供图书馆。
我个人使用它在爬虫中运行用户提供的代码,以使用用户提供的代码从网页中提取信息,效果非常好。
关于javascript - 如何在服务器端运行不受信任的代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10937870/
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
在选择我想要运行操作的频率时,唯一的选项是“每天”、“每小时”和“每10分钟”。谢谢!我想为我的Rails3.1应用程序运行调度程序。 最佳答案 这不是一个优雅的解决方案,但您可以安排它每天运行,并在实际开始工作之前检查日期是否为当月的第一天。 关于ruby-如何每月在Heroku运行一次Scheduler插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/8692687/
exe应该在我打开页面时运行。异步进程需要运行。有什么方法可以在ruby中使用两个参数异步运行exe吗?我已经尝试过ruby命令-system()、exec()但它正在等待过程完成。我需要用参数启动exe,无需等待进程完成是否有任何rubygems会支持我的问题? 最佳答案 您可以使用Process.spawn和Process.wait2:pid=Process.spawn'your.exe','--option'#Later...pid,status=Process.wait2pid您的程序将作为解释器的子进程执行。除
我尝试运行2.x应用程序。我使用rvm并为此应用程序设置其他版本的ruby:$rvmuseree-1.8.7-head我尝试运行服务器,然后出现很多错误:$script/serverNOTE:Gem.source_indexisdeprecated,useSpecification.Itwillberemovedonorafter2011-11-01.Gem.source_indexcalledfrom/Users/serg/rails_projects_terminal/work_proj/spohelp/config/../vendor/rails/railties/lib/r
