是否可以通过覆盖诸如alert、window.location和eval之类的各种函数来沙盒用户提交的Javascript?
我不是在寻找完美的解决方案。我相信有些人仍然会找到一种方法来重新排列div以拼出脏话或其他恶意内容,但如果我能够可靠地100%禁用页面重定向,我就会大部分满意。
我在Chrome中尝试过,做了一些像
context={}; //use this to prevent `this` from being `window`
context.f=function(){
var window=null,location=null,eval=function(){};
console.log(window); //also the other two
};
context.f();
看起来很有前途。如果我用用户提交的代码替换console行(检查括号平衡),这是非常糟糕的想法还是比较糟糕的想法?在Chrome中,通过访问this到函数并重新定义内容仍然可以破坏事情,但对我来说这是可以接受的。
https://github.com/eligrey/jsandbox
尽管如此,我想知道是否仍在维护它,或者以下的html5“sandbox”iframe属性是否替代了它:
vm.js 是一个使用纯粹的 CoffeeScript 实现的 JavaScript 虚拟机(应该可以在相对较旧的浏览器中运行),可用作轻量级进程内沙箱。它可以打破无限循环并保护全局对象免受修改。
对于在Web浏览器中运行的代码,仅在Worker中运行代码似乎已经足够严格了。请参见下面的更新
对于Node.js,您可以在沙盒进程中fork()并在那里执行代码(使用child_process模块)。
还有一些简化沙盒化的库,其中之一是我创建的Jailed(还有一个demo,其中JS-Console在沙盒中执行用户提交的代码)。
更新:显然我是错的,worker本身并不安全,因为它可以访问一些同源内容,比如IndexedDB。我已经提交了一个相关问题的链接。解决方法是将worker放入沙箱iframe中,这也在我的Jailed库中实现了。根据需要执行的操作,您可以在无文档上下文环境中运行javascript,例如通过Rhino,在服务器端获取结果并清理/插入它们。
function evalUnsafe(userCode) {
var vars = [];
var legal = {console: 'console', alert: 'alert'};
for(var b in this) {
if (!(b in legal)) {
vars.push(b);
}
}
var funcs = vars.join(",");
var code = "(function sandbox(" + funcs + ") {function runthis() {eval(" + JSON.stringify(userCode) + ");};var a = new runthis();})();";
eval(code);
}
示例1:
evalUnsafe("alert(window);");
evalUnsafe(<?php echo json_encode(file_get_contents("example.js"));?>);
Object、Number,特别是Function,以及全局对象(window)的所有属性。如果您在IFrame中“隔离”用户脚本,请确保它们无法以任何方式访问框架集合。 - Martijn(function(){}).constructor或类似的地方访问它们吗? - Loyal Tingley