Можно ли изолировать JavaScript, работающий в браузере?

Google Caja - это переводчик исходных текстов, который "позволяет размещать ненадежные сторонние HTML и JavaScript встроен в вашу страницу и по-прежнему безопасен ».

Взгляните на ADsafe Дугласа Крокфорда:

ADsafe делает безопасным размещение гостевого кода (например, сторонней рекламы или виджетов) на любой веб-странице. ADsafe определяет подмножество JavaScript, достаточно мощное, чтобы позволить гостевому коду выполнять ценные взаимодействия, в то же время предотвращая злонамеренное или случайное повреждение или вторжение. Подмножество ADsafe можно проверить механически с помощью таких инструментов, как JSLint, поэтому для проверки безопасности гостевого кода не требуется никакой проверки человеком. Подмножество ADsafe также обеспечивает соблюдение надлежащих методов кодирования, повышая вероятность того, что гостевой код будет работать правильно.

Вы можете увидеть пример использования ADsafe, просмотрев файлы template.html и template.js в репозитории проекта GitHub .

Я создал изолированную библиотеку под названием jsandbox, которая использует веб-исполнителей для изолирования оцениваемого кода. У него также есть метод ввода для явного предоставления данных изолированного кода, которые иначе невозможно было бы получить.

Ниже приведен пример API:

jsandbox
    .eval({
      code    : "x=1;Math.round(Math.pow(input, ++x))",
      input   : 36.565010597564445,
      callback: function(n) {
          console.log("number: ", n); // number: 1337
      }
  }).eval({
      code   : "][];.]\\ (*# ($(! ~",
      onerror: function(ex) {
          console.log("syntax error: ", ex); // syntax error: [error object]
      }
  }).eval({
      code    : '"foo"+input',
      input   : "bar",
      callback: function(str) {
          console.log("string: ", str); // string: foobar
      }
  }).eval({
      code    : "({q:1, w:2})",
      callback: function(obj) {
          console.log("object: ", obj); // object: object q=1 w=2
      }
  }).eval({
      code    : "[1, 2, 3].concat(input)",
      input   : [4, 5, 6],
      callback: function(arr) {
          console.log("array: ", arr); // array: [1, 2, 3, 4, 5, 6]
      }
  }).eval({
      code    : "function x(z){this.y=z;};new x(input)",
      input   : 4,
      callback: function(x) {
          console.log("new x: ", x); // new x: object y=4
      }
  });

Как упоминалось в других ответах, достаточно заблокировать код в изолированном iframe (без отправки его на серверную сторону) и обмениваться сообщениями.

Я бы посоветовал взглянуть на небольшую библиотеку, которую я создал в основном из-за необходимости предоставления некоторого API к ненадежному коду, как описано в вопросе: есть возможность экспортировать определенный набор функций прямо в песочницу, где выполняется ненадежный код. Также есть демонстрация, которая выполняет код, отправленный пользователем, в песочнице:

http://asvd.github.io/jailed/demos/web/console/ < / а>

Улучшенная версия песочницы веб-работников RyanOHara код в одном файле (дополнительный eval.js файл не требуется).

function safeEval(untrustedCode)
{
    return new Promise(function (resolve, reject)
        {
            var blobURL = URL.createObjectURL(new Blob([
                "(",
                function ()
                {
                    var _postMessage = postMessage;
                    var _addEventListener = addEventListener;

                    (function (obj)
                    {
                        "use strict";

                        var current = obj;
                        var keepProperties =
                        [
                            // Required
                            'Object', 'Function', 'Infinity', 'NaN', 'undefined', 'caches', 'TEMPORARY', 'PERSISTENT',
                            // Optional, but trivial to get back
                            'Array', 'Boolean', 'Number', 'String', 'Symbol',
                            // Optional
                            'Map', 'Math', 'Set',
                        ];

                        do
                        {
                            Object.getOwnPropertyNames(current).forEach(function (name)
                            {
                                if (keepProperties.indexOf(name) === -1)
                                {
                                    delete current[name];
                                }
                            });

                            current = Object.getPrototypeOf(current);
                        }
                        while (current !== Object.prototype)
                            ;

                    })(this);

                    _addEventListener("message", function (e)
                    {
                        var f = new Function("", "return (" + e.data + "\n);");
                        _postMessage(f());
                    });
                }.toString(),
                ")()"],
                {type: "application/javascript"}));

                var worker = new Worker(blobURL);

                URL.revokeObjectURL(blobURL);

                worker.onmessage = function (evt)
                {
                    worker.terminate();
                    resolve(evt.data);
                };

                worker.onerror = function (evt)
                {
                    reject(new Error(evt.message));
                };

                worker.postMessage(untrustedCode);

                setTimeout(function ()
                {
                    worker.terminate();
                    reject(new Error('The worker timed out.'));
                }, 1000);
        });
}

Попробуй это:

https://jsfiddle.net/kp0cq6yw/

var promise = safeEval("1+2+3");

promise.then(function (result) {
                 alert(result);
             });

Он должен вывести 6 (проверено в Chrome и Firefox).

Я думаю, что здесь стоит упомянуть js.js. Это интерпретатор JavaScript, написанный на JavaScript.

Он примерно в 200 раз медленнее, чем нативный JavaScript, но по своей природе идеален для песочницы. Еще один недостаток - его размер - почти 600 КБ, что в некоторых случаях может быть приемлемо для настольных компьютеров, но не для мобильных устройств.

Все поставщики браузеров и спецификация HTML5 работают над фактическим свойством песочницы, чтобы разрешить изолированные фреймы iframe, но оно по-прежнему ограничено детализацией iframe.

В общем, никакие регулярные выражения и т. Д. Не могут безопасно дезинфицировать произвольный предоставленный пользователем JavaScript, поскольку он вырождается в проблему остановки: - /

Независимый интерпретатор JavaScript с большей вероятностью даст надежную песочницу, чем версия встроенной реализации браузера в клетке.

У Райана уже упоминалось js.js, но более актуальным проектом является JS- Переводчик. В документации рассказывается, как предоставлять интерпретатору различные функции, но в остальном масштабы очень ограничены.

Уродливый способ, но, возможно, это сработает для вас:

Я взял все глобальные объекты и переопределил их в области песочницы, а также добавил строгий режим, чтобы они не могли получить глобальный объект с помощью анонимной функции.

function construct(constructor, args) {
  function F() {
      return constructor.apply(this, args);
  }
  F.prototype = constructor.prototype;
  return new F();
}
// Sanboxer
function sandboxcode(string, inject) {
  "use strict";
  var globals = [];
  for (var i in window) {
    // <--REMOVE THIS CONDITION
    if (i != "console")
    // REMOVE THIS CONDITION -->
    globals.push(i);
  }
  globals.push('"use strict";\n'+string);
  return construct(Function, globals).apply(inject ? inject : {});
}
sandboxcode('console.log( this, window, top , self, parent, this["jQuery"], (function(){return this;}()));');
// => Object {} undefined undefined undefined undefined undefined undefined
console.log("return of this", sandboxcode('return this;', {window:"sanboxed code"}));
// => Object {window: "sanboxed code"}

https://gist.github.com/alejandrolechuga/9381781

По состоянию на 2019 год vm2 выглядит самым популярным и наиболее регулярно обновляемым решением для запуска JavaScript < em> в Node.js. Я не знаю интерфейсного решения.

С помощью NISP вы сможете выполнять оценку в изолированной среде.

Хотя написанное вами выражение - это не совсем код JavaScript, вместо этого вы напишете S-выражения. Он идеально подходит для простых DSL, не требующих обширного программирования.

1. Предположим, у вас есть код для выполнения:

    var sCode = "alert(document)";
   

   Теперь предположим, что вы хотите выполнить его в песочнице:

    new Function("window", "with(window){" + sCode + "}")({});
   

   Эти две строки при выполнении не будут выполнены, потому что функция предупреждения недоступна из песочницы.

2. И теперь вы хотите выставить член объекта окна с вашей функциональностью:

    new Function("window", "with(window){" + sCode + "}")({
        'alert':function(sString){document.title = sString}
    });
   

Конечно, вы можете добавить экранирование кавычек и сделать другую полировку, но я думаю, что идея ясна.

Откуда взялся этот пользовательский код JavaScript?

Вы мало что можете сделать, если пользователь встраивает код на вашу страницу, а затем вызывает его из своего браузера (см. Greasemonkey). Это просто то, чем занимаются браузеры.

Однако, если вы сохраняете скрипт в базе данных, затем извлекаете его и выполняете eval (), вы можете очистить скрипт перед его запуском.

Примеры кода, удаляющего все окна. и документ. использованная литература:

 eval(
  unsafeUserScript
    .replace(/\/\/.+\n|\/\*.*\*\/, '') // Clear all comments
    .replace(/\s(window|document)\s*[\;\)\.]/, '') // Removes window. Or window; or window)
 )

Это пытается предотвратить выполнение следующего (не проверено):

window.location = 'http://example.com';
var w = window;

К небезопасному пользовательскому скрипту придется применить множество ограничений. К сожалению, для JavaScript не существует «контейнера песочницы».

Я работал над упрощенной песочницей JavaScript, позволяющей пользователям создавать апплеты для моего сайта. Хотя я все еще сталкиваюсь с некоторыми проблемами с предоставлением доступа к DOM (parentNode просто не позволяет мне держать вещи в безопасности = /), мой подход заключался в том, чтобы просто переопределить объект окна с некоторыми из его полезных / безвредных членов, а затем eval () пользователем код с этим переопределенным окном в качестве области по умолчанию.

Мой основной код выглядит так ... (я не показываю его полностью;)

function Sandbox(parent){

    this.scope = {
        window: {
            alert: function(str){
                alert("Overriden Alert: " + str);
            },
            prompt: function(message, defaultValue){
                return prompt("Overriden Prompt:" + message, defaultValue);
            },
            document: null,
            .
            .
            .
            .
        }
    };

    this.execute = function(codestring){

        // Here some code sanitizing, please

        with (this.scope) {
            with (window) {
                eval(codestring);
            }
        }
    };
}

Итак, я могу создать песочницу и использовать ее функцию execute () для запуска кода. Кроме того, все новые объявленные переменные в коде eval'd в конечном итоге будут привязаны к области действия execute (), поэтому не будет конфликтов имен или путаницы с существующим кодом.

Хотя глобальные объекты по-прежнему будут доступны, те, которые должны оставаться неизвестными изолированному коду, должны быть определены как прокси в объекте Sandbox :: scope.

Вы можете заключить код пользователя в функцию, которая переопределяет запрещенные объекты как параметры - тогда они будут undefined при вызове:

(function (alert) {

alert ("uh oh!"); // User code

}) ();

Конечно, умные злоумышленники могут обойти это, проверив DOM JavaScript и найдя неперекрываемый объект, содержащий ссылку на окно.

Другая идея - сканировать код пользователя с помощью такого инструмента, как JSLint. Убедитесь, что в нем нет предустановленных переменных (или: только те переменные, которые вам нужны), а затем, если установлены или доступны какие-либо глобальные переменные, не позволяйте использовать скрипт пользователя. Опять же, он может быть уязвим для обхода DOM - объекты, которые пользователь может создавать с помощью литералов, могут иметь неявные ссылки на объект окна, к которому можно получить доступ, чтобы выйти из песочницы.