Node.js 沙箱环境

时间  2019-12-07
标签 node.js node 环境 栏目 Node.js 繁體版
原文   原文链接

node官方文档里提到node的vm模块能够用来作沙箱环境执行代码,对代码的上下文环境作隔离。html

\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.node

先看一个例子

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; a + b;', {a});
console.log(result);    // 5
console.log(a);         // 1
console.log(typeof b);  // undefined
复制代码

沙箱环境中执行的代码对于外部代码没有产生任何影响,不管是新声明的变量b,仍是从新赋值的变量a。 注意最后一行的代码默认会被加上return关键字,所以无需手动添加,一旦添加的话不会静默忽略,而是执行报错。docker

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b); 
复制代码

以下所示bootstrap

evalmachine.<anonymous>:1
var b = 2; a = 3; return a + b;
                  ^^^^^^

SyntaxError: Illegal return statement
    at new Script (vm.js:74:7)
    at createScript (vm.js:246:10)
    at Object.runInNewContext (vm.js:291:10)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:17)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
复制代码

除了runInNewContext外,vm还提供了runInThisContext和runInContext两个方法均可以用来执行代码 runInThisContext没法指定contextsegmentfault

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar += "vm";');
console.log('vmResult:', vmResult);
console.log('localVar:', localVar);
console.log(global.localVar);
复制代码

因为没法访问本地的做用域,只能访问到当前的global对象,所以上面的代码会由于找不到localVal而报错api

evalmachine.<anonymous>:1
localVar += "vm";
^

ReferenceError: localVar is not defined
    at evalmachine.<anonymous>:1:1
    at Script.runInThisContext (vm.js:91:20)
    at Object.runInThisContext (vm.js:298:38)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
复制代码

若是咱们把要执行的代码改为直接赋值的话就能够正常运行了,可是也产生了全局污染(全局的localVar变量)安全

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar = "vm";');
console.log('vmResult:', vmResult);   // vm
console.log('localVar:', localVar);   // initial value
console.log(global.localVar);         // vm
复制代码

runInContext在传入context参数上与runInNewContext有所区别 runInContext传入的context对象不为空并且必须是经vm.createContext()处理过的,不然会报错。 runInNewContext的context参数是非必须的,并且无需通过vm.createContext处理。 runInNewContext和runInContext由于有指定context,因此不会向runInThisContext那样产生全局污染(不会产生全局的localVar变量)bash

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInNewContext('localVar = "vm";');
console.log('vmResult:', vmResult);   // vm
console.log('localVar:', localVar);   // initial value
console.log(global.localVar);         // undefined
复制代码

当须要一个沙箱环境执行多个脚本片断的时候,能够经过屡次调用runInContext方法可是传入同一个vm.createContext()返回值实现。app

超时控制及错误捕获

vm针对要执行的代码提供了超时机制,经过指定timeout参数便可以runInThisContext为例异步

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {  timeout: 1000});
复制代码
vm.js:91
      return super.runInThisContext(...args);
                   ^

Error: Script execution timed out.
    at Script.runInThisContext (vm.js:91:20)
    at Object.runInThisContext (vm.js:298:38)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
    at startup (internal/bootstrap/node.js:228:19)
复制代码

能够经过try catch来捕获代码错误

const vm = require('vm');
let localVar = 'initial value';​
try {  
    const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {
        timeout: 1000
    });
} catch(e) {  
    console.error('executed code timeout');
}
复制代码

延迟执行

vm除了即时执行代码以外,也能够先编译而后过一段时间再执行,这就须要提到vm.Script了。其实不管是runInNewContext、runInThisContext仍是runInThisContext,背后其实都建立了Script,从以前的报错信息就能够看出来 接下来咱们就用vm.Script来重写本文开头的例子

const vm = require('vm');
let a = 1;
var script = new vm.Script('var b = 2; a = 3; a + b;');
setTimeout(() => {  
    let result  = script.runInNewContext({a});  
    console.log(result);     // 5  
    console.log(a);          // 1  
    console.log(typeof b);   // undefined
}, 300);
复制代码

除了vm.Script,node在9.6版本中新增了vm.Module也能够作到延迟执行,vm.Module主要用来支持ES6 module,并且它的context在建立的时候就已经绑定好了,关于vm.Module目前还须要在命令行使用flag来启用支持

node --experimental-vm-module index.js
复制代码

vm做为沙箱环境安全吗?

vm相对于eval来讲更安全一些,由于它隔离了当前的上下文环境了,可是尽管如此依然能够访问标准的JS API和全局的NodeJS环境,所以vm并不安全,这个在官方文档里就提到了

The vm module is not a security mechanism. Do not use it to run untrusted code

请看下面的例子

const vm = require('vm');
vm.runInNewContext("this.constructor.constructor('return process')().exit()")
console.log("The app goes on...") // 永远不会输出
复制代码

为了不上面这种状况,能够将上下文简化成只包含基本类型,以下所示

let ctx = Object.create(null);
ctx.a = 1; // ctx上不能包含引用类型的属性
vm.runInNewContext("this.constructor.constructor('return process')().exit()", ctx);
复制代码

针对原生vm存在的这个问题,有人开发了vm2包,能够避免上述问题,可是也不能说vm2就必定是安全的

const {VM} = require('vm2');
new VM().run('this.constructor.constructor("return process")().exit()');
复制代码

虽然执行上述代码没有问题,可是因为vm2的timeout对于异步代码不起做用,因此下面的代码永远不会执行结束。

const { VM } = require('vm2');
const vm = new VM({ timeout: 1000, sandbox: {}});
vm.run('new Promise(()=>{})');
复制代码

即便但愿经过从新定义Promise的方式来禁用Promise的话,仍是一个能够绕过的

const { VM } = require('vm2');
const vm = new VM({ 
  timeout: 1000, sandbox: { Promise: function(){}}
});
vm.run('Promise = (async function(){})().constructor;new Promise(()=>{});');
复制代码

总结

vm提供了一种隔离的方式来执行不可信代码,可是并非很是完全,针对不可信代码最好的执行方式仍是“物理隔离”,好比docker容器。

参考资料

https://nodejs.org/dist/latest-v10.x/docs/api/vm.html

https://60devs.com/executing-js-code-with-nodes-vm-module.html

https://odino.org/eval-no-more-understanding-vm-vm2-nodejs/

https://segmentfault.com/a/1190000014533283

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程