require函数和require对象吗?
基本上,我不信任某个特定的模块。它可能包含恶意代码,我想保护我的服务器免受其影响。这个想法类似于Java策略,您可以基于命名空间来限制访问。
编辑:我找到了一种方法来解决这个问题,并将解决方案发布在npmjs.org上,名称为require-shield。https://www.npmjs.com/package/require-shield
在Node中有没有一种方法可以限制访问或仅允许从特定模块访问某些其他模块?
没有。没有这种方法。
我应该替换全局范围中的require函数和require对象吗?
那样并不能防止访问。任何恶意代码仍然可以使用 fs.readFile() 和 eval() 来运行他们想要的任何外部代码。
我基本上不信任一个特定的模块。它可能有恶意代码,我想保护我的服务器免受其影响。
保护服务器免受恶意代码影响的唯一方法是在外部进程中运行它,并非常仔细地控制该外部进程具有的权限(例如,将其放置在仅具有基本权限的自己的用户帐户中)。最安全的方式是在完全与服务器隔离的VM中运行不受信任的代码。
还有node.js VM,它在不同的Javascript实例中运行代码,因此外部代码无法干扰您服务器的Javascript环境。虽然这确实保护了您的Javascript代码不受其他Javascript代码的影响,但它并未提供在实际VM中运行外部代码所提供的完整系统保护(例如,不受信任的代码仍然可以访问您的文件系统和其他系统资源)。
require() 的?这并不像简单的重新分配那样简单。每个模块都会传递一个不同的 require()。 - jfriend00replace() 的常见原因是为像 webPack 这样遵循正常规则的代码提供新功能,而不是防止您试图防止的内容。 对于我可以看到的第一种方法,请查看此处的实现:https://github.com/nodejs/node/blob/master/lib/module.js#L606。 - jfriend00const fs = module.constructor._load('fs');。 - jfriend00--experimental-permission选项运行脚本:node --experimental-permission index.js
这将阻止所有文件系统访问,您可以使用--allow-fs-read和--allow-fs-write标志来允许访问特定目录或文件。例如:
node --experimental-permission --allow-fs-write=/tmp/ index.js
--allow-fs-write=/tmp/ 可以让你的程序仅访问 /tmp/ 目录。
同时,离线系统上的可靠性更高,因此,使用容器/虚拟化来隔离Javascript进程将是您想要的下一步。
如果您真的想深入了解Javascript的可能性,还有node vm2,它声称能够运行不受信任的代码,而不像官方的Node.js VM。