浅谈Node.js 沙箱环境
node官方文档里提到node的vm模块可以用来做沙箱环境执行代码,对代码的上下文环境做隔离。
\Acommonusecaseistorunthecodeinasandboxedenvironment.ThesandboxedcodeusesadifferentV8Context,meaningthatithasadifferentglobalobjectthantherestofthecode.
先看一个例子
constvm=require('vm');
leta=1;
varresult=vm.runInNewContext('varb=2;a=3;a+b;',{a});
console.log(result);//5
console.log(a);//1
console.log(typeofb);//undefined
沙箱环境中执行的代码对于外部代码没有产生任何影响,无论是新声明的变量b,还是重新赋值的变量a。注意最后一行的代码默认会被加上return关键字,因此无需手动添加,一旦添加的话不会静默忽略,而是执行报错。
constvm=require('vm');
leta=1;
varresult=vm.runInNewContext('varb=2;a=3;returna+b;',{a});
console.log(result);
console.log(a);
console.log(typeofb);
如下所示
evalmachine.:1 varb=2;a=3;returna+b; ^^^^^^ SyntaxError:Illegalreturnstatement atnewScript(vm.js:74:7) atcreateScript(vm.js:246:10) atObject.runInNewContext(vm.js:291:10) atObject. (/Users/xiji/workspace/learn/script.js:3:17) atModule._compile(internal/modules/cjs/loader.js:678:30) atObject.Module._extensions..js(internal/modules/cjs/loader.js:689:10) atModule.load(internal/modules/cjs/loader.js:589:32) attryModuleLoad(internal/modules/cjs/loader.js:528:12) atFunction.Module._load(internal/modules/cjs/loader.js:520:3) atFunction.Module.runMain(internal/modules/cjs/loader.js:719:10)
除了runInNewContext外,vm还提供了runInThisContext和runInContext两个方法都可以用来执行代码runInThisContext无法指定context
constvm=require('vm');
letlocalVar='initialvalue';
constvmResult=vm.runInThisContext('localVar+="vm";');
console.log('vmResult:',vmResult);
console.log('localVar:',localVar);
console.log(global.localVar);
由于无法访问本地的作用域,只能访问到当前的global对象,因此上面的代码会因为找不到localVal而报错
evalmachine.:1 localVar+="vm"; ^ ReferenceError:localVarisnotdefined atevalmachine. :1:1 atScript.runInThisContext(vm.js:91:20) atObject.runInThisContext(vm.js:298:38) atObject. (/Users/xiji/workspace/learn/script.js:3:21) atModule._compile(internal/modules/cjs/loader.js:678:30) atObject.Module._extensions..js(internal/modules/cjs/loader.js:689:10) atModule.load(internal/modules/cjs/loader.js:589:32) attryModuleLoad(internal/modules/cjs/loader.js:528:12) atFunction.Module._load(internal/modules/cjs/loader.js:520:3) atFunction.Module.runMain(internal/modules/cjs/loader.js:719:10)
如果我们把要执行的代码改成直接赋值的话就可以正常运行了,但是也产生了全局污染(全局的localVar变量)
constvm=require('vm');
letlocalVar='initialvalue';
constvmResult=vm.runInThisContext('localVar="vm";');
console.log('vmResult:',vmResult);//vm
console.log('localVar:',localVar);//initialvalue
console.log(global.localVar);//vm
runInContext在传入context参数上与runInNewContext有所区别runInContext传入的context对象不为空而且必须是经vm.createContext()处理过的,否则会报错。runInNewContext的context参数是非必须的,而且无需经过vm.createContext处理。runInNewContext和runInContext因为有指定context,所以不会向runInThisContext那样产生全局污染(不会产生全局的localVar变量)
constvm=require('vm');
letlocalVar='initialvalue';
constvmResult=vm.runInNewContext('localVar="vm";');
console.log('vmResult:',vmResult);//vm
console.log('localVar:',localVar);//initialvalue
console.log(global.localVar);//undefined
当需要一个沙箱环境执行多个脚本片段的时候,可以通过多次调用runInContext方法但是传入同一个vm.createContext()返回值实现。
超时控制及错误捕获
vm针对要执行的代码提供了超时机制,通过指定timeout参数即可以runInThisContext为例
constvm=require('vm');
letlocalVar='initialvalue';
constvmResult=vm.runInThisContext('while(true){1};localVar="vm";',{timeout:1000});
vm.js:91 returnsuper.runInThisContext(...args); ^ Error:Scriptexecutiontimedout. atScript.runInThisContext(vm.js:91:20) atObject.runInThisContext(vm.js:298:38) atObject.(/Users/xiji/workspace/learn/script.js:3:21) atModule._compile(internal/modules/cjs/loader.js:678:30) atObject.Module._extensions..js(internal/modules/cjs/loader.js:689:10) atModule.load(internal/modules/cjs/loader.js:589:32) attryModuleLoad(internal/modules/cjs/loader.js:528:12) atFunction.Module._load(internal/modules/cjs/loader.js:520:3) atFunction.Module.runMain(internal/modules/cjs/loader.js:719:10) atstartup(internal/bootstrap/node.js:228:19)
可以通过trycatch来捕获代码错误
constvm=require('vm');
letlocalVar='initialvalue';
try{
constvmResult=vm.runInThisContext('while(true){1};localVar="vm";',{
timeout:1000
});
}catch(e){
console.error('executedcodetimeout');
}
延迟执行
vm除了即时执行代码之外,也可以先编译然后过一段时间再执行,这就需要提到vm.Script了。其实无论是runInNewContext、runInThisContext还是runInThisContext,背后其实都创建了Script,从之前的报错信息就可以看出来接下来我们就用vm.Script来重写本文开头的例子
constvm=require('vm');
leta=1;
varscript=newvm.Script('varb=2;a=3;a+b;');
setTimeout(()=>{
letresult=script.runInNewContext({a});
console.log(result);//5
console.log(a);//1
console.log(typeofb);//undefined
},300);
除了vm.Script,node在9.6版本中新增了vm.Module也可以做到延迟执行,vm.Module主要用来支持ES6module,而且它的context在创建的时候就已经绑定好了,关于vm.Module目前还需要在命令行使用flag来启用支持
node--experimental-vm-moduleindex.js
vm作为沙箱环境安全吗?
vm相对于eval来说更安全一些,因为它隔离了当前的上下文环境了,但是尽管如此依然可以访问标准的JSAPI和全局的NodeJS环境,因此vm并不安全,这个在官方文档里就提到了
Thevmmoduleisnotasecuritymechanism.Donotuseittorununtrustedcode
请看下面的例子
constvm=require('vm');
vm.runInNewContext("this.constructor.constructor('returnprocess')().exit()")
console.log("Theappgoeson...")//永远不会输出
为了避免上面这种情况,可以将上下文简化成只包含基本类型,如下所示
letctx=Object.create(null);
ctx.a=1;//ctx上不能包含引用类型的属性
vm.runInNewContext("this.constructor.constructor('returnprocess')().exit()",ctx);
针对原生vm存在的这个问题,有人开发了vm2包,可以避免上述问题,但是也不能说vm2就一定是安全的
const{VM}=require('vm2');
newVM().run('this.constructor.constructor("returnprocess")().exit()');
虽然执行上述代码没有问题,但是由于vm2的timeout对于异步代码不起作用,所以下面的代码永远不会执行结束。
const{VM}=require('vm2');
constvm=newVM({timeout:1000,sandbox:{}});
vm.run('newPromise(()=>{})');
即使希望通过重新定义Promise的方式来禁用Promise的话,还是一个可以绕过的
const{VM}=require('vm2');
constvm=newVM({
timeout:1000,sandbox:{Promise:function(){}}
});
vm.run('Promise=(asyncfunction(){})().constructor;newPromise(()=>{});');
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。