浅谈Node.js 沙箱环境
node官方文档里提到node的vm模块可以用来做沙箱环境执行代码,对代码的上下文环境做隔离。
\a common use case is to run the code in a sandboxed environment. the sandboxed code uses a different v8 context, meaning that it has a different global object than the rest of the code.
先看一个例子
const vm = require('vm');
let a = 1;
var result = vm.runinnewcontext('var b = 2; a = 3; a + b;', {a});
console.log(result); // 5
console.log(a); // 1
console.log(typeof b); // undefined
沙箱环境中执行的代码对于外部代码没有产生任何影响,无论是新声明的变量b,还是重新赋值的变量a。 注意最后一行的代码默认会被加上return关键字,因此无需手动添加,一旦添加的话不会静默忽略,而是执行报错。
const vm = require('vm');
let a = 1;
var result = vm.runinnewcontext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b);
如下所示
evalmachine.<anonymous>:1
var b = 2; a = 3; return a + b;
^^^^^^
syntaxerror: illegal return statement
at new script (vm.js:74:7)
at createscript (vm.js:246:10)
at object.runinnewcontext (vm.js:291:10)
at object.<anonymous> (/users/xiji/workspace/learn/script.js:3:17)
at module._compile (internal/modules/cjs/loader.js:678:30)
at object.module._extensions..js (internal/modules/cjs/loader.js:689:10)
at module.load (internal/modules/cjs/loader.js:589:32)
at trymoduleload (internal/modules/cjs/loader.js:528:12)
at function.module._load (internal/modules/cjs/loader.js:520:3)
at function.module.runmain (internal/modules/cjs/loader.js:719:10)
除了runinnewcontext外,vm还提供了runinthiscontext和runincontext两个方法都可以用来执行代码 runinthiscontext无法指定context
const vm = require('vm');
let localvar = 'initial value';
const vmresult = vm.runinthiscontext('localvar += "vm";');
console.log('vmresult:', vmresult);
console.log('localvar:', localvar);
console.log(global.localvar);
由于无法访问本地的作用域,只能访问到当前的global对象,因此上面的代码会因为找不到localval而报错
evalmachine.<anonymous>:1 localvar += "vm"; ^ referenceerror: localvar is not defined at evalmachine.<anonymous>:1:1 at script.runinthiscontext (vm.js:91:20) at object.runinthiscontext (vm.js:298:38) at object.<anonymous> (/users/xiji/workspace/learn/script.js:3:21) at module._compile (internal/modules/cjs/loader.js:678:30) at object.module._extensions..js (internal/modules/cjs/loader.js:689:10) at module.load (internal/modules/cjs/loader.js:589:32) at trymoduleload (internal/modules/cjs/loader.js:528:12) at function.module._load (internal/modules/cjs/loader.js:520:3) at function.module.runmain (internal/modules/cjs/loader.js:719:10)
如果我们把要执行的代码改成直接赋值的话就可以正常运行了,但是也产生了全局污染(全局的localvar变量)
const vm = require('vm');
let localvar = 'initial value';
const vmresult = vm.runinthiscontext('localvar = "vm";');
console.log('vmresult:', vmresult); // vm
console.log('localvar:', localvar); // initial value
console.log(global.localvar); // vm
runincontext在传入context参数上与runinnewcontext有所区别 runincontext传入的context对象不为空而且必须是经vm.createcontext()处理过的,否则会报错。 runinnewcontext的context参数是非必须的,而且无需经过vm.createcontext处理。 runinnewcontext和runincontext因为有指定context,所以不会向runinthiscontext那样产生全局污染(不会产生全局的localvar变量)
const vm = require('vm');
let localvar = 'initial value';
const vmresult = vm.runinnewcontext('localvar = "vm";');
console.log('vmresult:', vmresult); // vm
console.log('localvar:', localvar); // initial value
console.log(global.localvar); // undefined
当需要一个沙箱环境执行多个脚本片段的时候,可以通过多次调用runincontext方法但是传入同一个vm.createcontext()返回值实现。
超时控制及错误捕获
vm针对要执行的代码提供了超时机制,通过指定timeout参数即可以runinthiscontext为例
const vm = require('vm');
let localvar = 'initial value';
const vmresult = vm.runinthiscontext('while(true) { 1 }; localvar = "vm";', { timeout: 1000});
vm.js:91
return super.runinthiscontext(...args);
^
error: script execution timed out.
at script.runinthiscontext (vm.js:91:20)
at object.runinthiscontext (vm.js:298:38)
at object.<anonymous> (/users/xiji/workspace/learn/script.js:3:21)
at module._compile (internal/modules/cjs/loader.js:678:30)
at object.module._extensions..js (internal/modules/cjs/loader.js:689:10)
at module.load (internal/modules/cjs/loader.js:589:32)
at trymoduleload (internal/modules/cjs/loader.js:528:12)
at function.module._load (internal/modules/cjs/loader.js:520:3)
at function.module.runmain (internal/modules/cjs/loader.js:719:10)
at startup (internal/bootstrap/node.js:228:19)
可以通过try catch来捕获代码错误
const vm = require('vm');
let localvar = 'initial value';
try {
const vmresult = vm.runinthiscontext('while(true) { 1 }; localvar = "vm";', {
timeout: 1000
});
} catch(e) {
console.error('executed code timeout');
}
延迟执行
vm除了即时执行代码之外,也可以先编译然后过一段时间再执行,这就需要提到vm.script了。其实无论是runinnewcontext、runinthiscontext还是runinthiscontext,背后其实都创建了script,从之前的报错信息就可以看出来 接下来我们就用vm.script来重写本文开头的例子
const vm = require('vm');
let a = 1;
var script = new vm.script('var b = 2; a = 3; a + b;');
settimeout(() => {
let result = script.runinnewcontext({a});
console.log(result); // 5
console.log(a); // 1
console.log(typeof b); // undefined
}, 300);
除了vm.script,node在9.6版本中新增了vm.module也可以做到延迟执行,vm.module主要用来支持es6 module,而且它的context在创建的时候就已经绑定好了,关于vm.module目前还需要在命令行使用flag来启用支持
node --experimental-vm-module index.js
vm作为沙箱环境安全吗?
vm相对于eval来说更安全一些,因为它隔离了当前的上下文环境了,但是尽管如此依然可以访问标准的js api和全局的nodejs环境,因此vm并不安全,这个在官方文档里就提到了
the vm module is not a security mechanism. do not use it to run untrusted code
请看下面的例子
const vm = require('vm');
vm.runinnewcontext("this.constructor.constructor('return process')().exit()")
console.log("the app goes on...") // 永远不会输出
为了避免上面这种情况,可以将上下文简化成只包含基本类型,如下所示
let ctx = object.create(null);
ctx.a = 1; // ctx上不能包含引用类型的属性
vm.runinnewcontext("this.constructor.constructor('return process')().exit()", ctx);
针对原生vm存在的这个问题,有人开发了vm2包,可以避免上述问题,但是也不能说vm2就一定是安全的
const {vm} = require('vm2');
new vm().run('this.constructor.constructor("return process")().exit()');
虽然执行上述代码没有问题,但是由于vm2的timeout对于异步代码不起作用,所以下面的代码永远不会执行结束。
const { vm } = require('vm2');
const vm = new vm({ timeout: 1000, sandbox: {}});
vm.run('new promise(()=>{})');
即使希望通过重新定义promise的方式来禁用promise的话,还是一个可以绕过的
const { vm } = require('vm2');
const vm = new vm({
timeout: 1000, sandbox: { promise: function(){}}
});
vm.run('promise = (async function(){})().constructor;new promise(()=>{});');
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
上一篇: 十年了 你除了会拿iPad看剧还会干啥!
下一篇: 小米高管偷跑小米10:左上角挖孔