logo标签列表

Web Workers是否增加(或降低)安全性?

javascriptsecurityweb-workerbrowser-security
7
Web Workers是否缓解或加剧了JavaScript和浏览器环境已知的安全问题?
7
有哪些“已知的安全问题”?你所面临的具体问题是什么? - George Stocker
@GeorgeStocker 我正在考虑使用Web Workers,并想知道它们是否会带来任何安全风险,或者我是否可以免费获得一些安全增强功能。 - Noah Freitas
Web workers基本上是非常有限的线程。实际上,无论如何都没有真正的安全隐患。 - Chris Heald
2
请避免使用“标题说的一切”。我也支持George Stocker的观点。 - user166390
你认为它可能或不可能是为什么? - epascarello
3
同样适用于破损的 JS 引擎沙盒的问题也适用于 Web Workers,这就是全部,因此如果你已经在使用 JS,那么你的应用程序没有添加新的攻击面。(但这是一些新内容并且没有经过测试,就像常规情况下存在安全漏洞的可能性一样 :)) - damiankolasa
1个回答
6

根据Mozilla Web Workers安全审查:

  • Workers在一个严密控制的沙盒中执行。
  • 无法访问组件或其他全局JS组件。
  • 只有基本的JS(Math,Date等),超时,XHR和importScripts。
  • 脚本加载受到与主线程相同的限制(内容策略,同源策略等)。
  • XHR使用与主线程相同的代码。

这些回答了我所有的安全考虑。

这里提供了一份API列表:https://developer.mozilla.org/en-US/docs/Web/API/Web_Workers_API/Functions_and_classes_available_to_workers 请注意,IndexedDB也在列表中,因此在worker中存在恶意代码可能会编辑/删除数据。更多讨论请参考:https://stackoverflow.com/a/26488003 - undefined
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接