想象一个场景,我想连续调用用户提供的 Javascript 代码,如下例所示,其中 getUserResult 是某个用户(不是我自己)编写的函数:
for (var i = 0; i < N; ++i) {
var x = getUserResult(currentState);
updateState(currentState, x);
}
如何在浏览器和/或 Node.js 中执行此类代码,而不存在任何安全风险?
更一般地说,如何执行不允许修改甚至读取当前网页或任何其他全局状态的 Javascript 函数?是否有类似浏览器内“JS 虚拟机”的东西?
JSFiddle 如何确保您不能运行任何恶意代码(至少它可以钓鱼您的登录名,在页面的生命周期内运行机器人,如果不是做更糟糕的事情)?或者它根本不能确保这一点?
最佳答案
经过深思熟虑并在此线程中的其他发帖人的帮助下(非常感谢您的帮助!),我找到了第一组问题的答案。不过,我在这里重写了我的答案,因为它总结了概念,还为您提供了一些实际代码来进行试验。
一般来说,这个问题有两种解决方案:我们要么使用iframe,要么使用Worker,将代码运行在一个隔离的环境中,从而无法读写当前页面的信息(这是我的第一个主要安全问题)。
还有更完整的沙盒解决方案,例如 Google Caja,它(默认情况下)也在 iframe 中运行其代码。 Caja 不仅做 sandbox JS,还做 HTML 和 CSS。然而,它确实not seem very actively maintained不再。
更新:自最初发布以来,Caja 已被弃用。 It has been replaced与 Closure Toolkit , 具体来说 Closure Library和 Closure Templates .
由 Juan Garcia 提议,我将使用 web worker API,但这不是完整的故事。尽管工作人员无法直接从托管页面访问任何内容,但仍然存在不少安全风险。 This site lists all built-ins available in a Worker's context .
This JSFiddle演示了一种在 window 的上下文之外运行代码字符串而无需通过服务器的方法,正如评论中所指出的那样,这仍然是不安全的。
我对此进行了扩展,并采用了一种基于黑名单的方法,通过删除以下所有内容来禁用所有外部通信:
worker WebSocketXMLHttpRequestimportScripts然而,实际上最安全的方法是白名单方法(提到 here ),因为它将在未来保持安全(假设任何白名单全局变量的语义永远不会以它们允许的方式改变更多 在任何 future 版本中访问;这是一个有点合理的假设)。
几年前,我最终在我的浏览器内 WumpusGame 中实现了白名单方法,允许您在玩游戏时编写自己的 AI 脚本。 Source code here .可以看到白名单维护在GuestScriptContext中而 worker 由 HostScriptContext 管理.
GameScriptContext展示了如何使用它。
它有几个特性,包括 guest <->主机通信, guest 可以在主机上执行非特权操作(如果它有安全 token ,甚至可以执行特权操作)等等。
注意:它不能很好地与某些扩展一起使用,因为它们会阻止覆盖全局变量(当我尝试运行它时,它会提示 TEMPORARY 是其中之一)。解决方法是将这些列入白名单,或者弄清楚如何使其与现代浏览器安全功能兼容,或者只是以安全为中心的扩展,如 AdBlock 等。
游戏理论上可以玩here , 但由于上述原因,它似乎在 Chrome 中不起作用(我还没有尝试过其他浏览器)。
更多引用资料:
Worker。关于javascript - 如何在浏览器中安全地运行用户提供的 Javascript 代码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22506026/
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
exe应该在我打开页面时运行。异步进程需要运行。有什么方法可以在ruby中使用两个参数异步运行exe吗?我已经尝试过ruby命令-system()、exec()但它正在等待过程完成。我需要用参数启动exe,无需等待进程完成是否有任何rubygems会支持我的问题? 最佳答案 您可以使用Process.spawn和Process.wait2:pid=Process.spawn'your.exe','--option'#Later...pid,status=Process.wait2pid您的程序将作为解释器的子进程执行。除
鉴于我有以下迁移:Sequel.migrationdoupdoalter_table:usersdoadd_column:is_admin,:default=>falseend#SequelrunsaDESCRIBEtablestatement,whenthemodelisloaded.#Atthispoint,itdoesnotknowthatusershaveais_adminflag.#Soitfails.@user=User.find(:email=>"admin@fancy-startup.example")@user.is_admin=true@user.save!ende
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我正在为一个项目制作一个简单的shell,我希望像在Bash中一样解析参数字符串。foobar"helloworld"fooz应该变成:["foo","bar","helloworld","fooz"]等等。到目前为止,我一直在使用CSV::parse_line,将列分隔符设置为""和.compact输出。问题是我现在必须选择是要支持单引号还是双引号。CSV不支持超过一个分隔符。Python有一个名为shlex的模块:>>>shlex.split("Test'helloworld'foo")['Test','helloworld','foo']>>>shlex.split('Test"
我实际上是在尝试使用RVM在我的OSX10.7.5上更新ruby,并在输入以下命令后:rvminstallruby我得到了以下回复:Searchingforbinaryrubies,thismighttakesometime.Checkingrequirementsforosx.Installingrequirementsforosx.Updatingsystem.......Errorrunning'requirements_osx_brew_update_systemruby-2.0.0-p247',pleaseread/Users/username/.rvm/log/138121
这可能是个愚蠢的问题。但是,我是一个新手......你怎么能在交互式rubyshell中有多行代码?好像你只能有一条长线。按回车键运行代码。无论如何我可以在不运行代码的情况下跳到下一行吗?再次抱歉,如果这是一个愚蠢的问题。谢谢。 最佳答案 这是一个例子:2.1.2:053>a=1=>12.1.2:054>b=2=>22.1.2:055>a+b=>32.1.2:056>ifa>b#Thecode‘if..."startsthedefinitionoftheconditionalstatement.2.1.2:057?>puts"f