保护 SSJS 免受未经验证的代码的影响

发布于 2024-09-11 00:39:00 字数 129 浏览 3 评论 0原文

我想使用node.js（或其他SSJS解决方案），运行我自己的代码+内部编写的外部代码（不受信任）。

有什么方法可以分离和保护我自己的代码吗？我可以限制不受信任的代码的模块和系统影响（限制对文件、非 HTTP 端口等的访问）吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

行至春深 2024-09-18 00:39:00

你可以看看这个项目，它看起来很有前途：

http://github.com/gf3/node-沙箱

就我个人而言，我不使用 Node 来执行任意 SSJS。你可能不喜欢这个解决方案，但它对我来说工作了大约一年：

Spidermonkey API 的 Perl 实现（Spidermonkey 是 Firefox 的 JS 引擎）可用。我在一些 CGI 的帮助下将其连接起来。您可以在其中准确指定要公开的函数（当然，它是用 Perl...blech 编写的）并执行您喜欢的任何代码。由于整个设置完全沙盒化，因此不存在漏洞风险。它不模拟 DOM。

我在我的服务器上实现这一点的方法（为了防止滥用）是颁发令牌，通过另一台服务器上的 REST API 授予一次性访问权限。这是一个简单的 HMAC 实现，其中包含一个时间戳来强制令牌的合法性。当 Perl 脚本收到请求时，它会验证令牌并处理脚本（该脚本应该只是 POST 请求的一部分）。然后 Perl 脚本只写入结果。我的服务器设置为在 10 秒左右超时。

希望这有帮助！

回复收藏 0 原文

刘备忘录 2024-09-18 00:39:00

请查看 Caja。它将第三方代码转换为一种形式，其中代码只能访问您明确授予它的对象。

回复收藏 0 原文

我三岁 2024-09-18 00:39:00

从 Node.js 文档中查看这一点

script.runInNewContext([沙箱])
与 Script.runInNewContext 类似（注意大写“S”），但现在是
预编译 Script 对象的方法。 script.runInNewContext 运行
以沙箱为全局对象的脚本代码并返回结果。
运行代码无权访问本地范围。沙箱是可选的。

http://nodejs.org/api.html#script-runinnewcontext-105

回复收藏 0 原文

~没有更多了~