Какой самый безопасный способ разрешить выполнение JavaScript, написанного на клиенте, на сервере?

Question

Какой самый безопасный способ разрешить выполнение JavaScript, написанного на клиенте, на сервере?

1

Я хотел бы разрешить нашим пользователям писать логику синтаксического анализа строки в JavaScript, которая затем будет выполняться на сервере.

Изменить (подробнее):

Regex не является вариантом, поскольку они понадобятся, if, else, switch т.д.
Я хотел бы избежать создания пользовательского языка
Идея в том, что пользователь знает JS, они могут писать собственную логику

Я посмотрел на Stopping Infinite Loops от CodePen, где они генерируют абстрактное дерево синтаксиса с использованием Esprima, а затем регенерируют JavaScript, который мы используем Escodegen. Меня беспокоит такой подход, что кто-то все еще может ввести какой-то взлом Unicode.

John Doherty 11 окт. 2018, в 10:35

Источник

0

Лучше всего будет использовать new Function() { arg1, arg2, arg3, code )(arg1, arg2, arg3) . Это создает изолированную область (за исключением глобальной области, которая может быть перезаписана путем добавления локальных переменных, ссылающихся на глобальную область). Возможно, вы захотите поместить некоторые защитные меры в часть кода (например, запретить операторы require ). Если код должен что-то возвращать, то вы можете поймать результат
Icepickle 11 окт. 2018, в 08:14
0

Выполнение клиентского JS-кода на сервере? Звучит не очень хорошо. Только если вы проанализируете код и убедитесь, что вызываются только разрешенные функции, нет мертвых циклов и т. Д. Не легко.
AlexM 11 окт. 2018, в 08:20
0

Похоже, вам нужна песочница.
stdob-- 11 окт. 2018, в 08:23
1

В зависимости от того, насколько сложной может быть логика синтаксического анализа, вы можете придумать свой собственный синтаксис (с поддержкой 'if', 'else' и т. Д.), Который будет анализироваться и выполняться на стороне сервера.
AlexM 11 окт. 2018, в 08:26
0

может быть возможным дубликатом кода Execute JavaScript, хранящимся в виде строки
Tiisetso Tjabane 11 окт. 2018, в 08:32
0

Совсем не похоже на хорошую идею. Вам будет трудно проанализировать его как действительный JS и сохранить в безопасности что-то вроде (1).constructor.constructor('console.log("Hi")')() . AngularJS пытался сделать это с помощью выражений, и в течение долгого времени существовали дыры в безопасности. Я предполагаю, что вы собираетесь применить этот код в производстве? Похоже, песочница не вариант тогда. Я бы посоветовал перейти с некоторыми запросами DSL, в зависимости от того, что вы анализируете. Проверьте github.com/… или npmjs.com/search?q=parse+dsl для некоторых идей.
Estus Flask 11 окт. 2018, в 09:17
0

Доверяете ли вы своим пользователям?
Bergi 11 окт. 2018, в 09:44
0

@ AlexM Я согласен, это идет против всего. Я посмотрел на создание абстрактного синтаксического дерева и т. Д. (Обновленный вопрос со ссылками) . Я учел свой собственный синтаксис, но это еще одна кривая обучения для пользователя - я бы предпочел, чтобы они могли гуглить команды и т. Д.
John Doherty 11 окт. 2018, в 10:52
0

@stdob Я согласен, Песочница действительно чувствует себя как правильный подход. Может быть, отдельный узел службы, который принимает параметры и код функции?
John Doherty 11 окт. 2018, в 10:52
0

@ Bergi, хотя я действительно доверяю нашим пользователям, возможно, что их система может быть взломана, поэтому всегда лучше предполагать худшее
John Doherty 11 окт. 2018, в 10:52

Показать ещё 8 комментариев

Теги:

javascript

node.js

abstract-syntax-tree

esprima

escodegen

2 ответа

Ещё вопросы

Лучше всего будет использовать new Function() { arg1, arg2, arg3, code )(arg1, arg2, arg3) . Это создает изолированную область (за исключением глобальной области, которая может быть перезаписана путем добавления локальных переменных, ссылающихся на глобальную область). Возможно, вы захотите поместить некоторые защитные меры в часть кода (например, запретить операторы require ). Если код должен что-то возвращать, то вы можете поймать результат
Выполнение клиентского JS-кода на сервере? Звучит не очень хорошо. Только если вы проанализируете код и убедитесь, что вызываются только разрешенные функции, нет мертвых циклов и т. Д. Не легко.
В зависимости от того, насколько сложной может быть логика синтаксического анализа, вы можете придумать свой собственный синтаксис (с поддержкой 'if', 'else' и т. Д.), Который будет анализироваться и выполняться на стороне сервера.
может быть возможным дубликатом кода Execute JavaScript, хранящимся в виде строки
Совсем не похоже на хорошую идею. Вам будет трудно проанализировать его как действительный JS и сохранить в безопасности что-то вроде (1).constructor.constructor('console.log("Hi")')() . AngularJS пытался сделать это с помощью выражений, и в течение долгого времени существовали дыры в безопасности. Я предполагаю, что вы собираетесь применить этот код в производстве? Похоже, песочница не вариант тогда. Я бы посоветовал перейти с некоторыми запросами DSL, в зависимости от того, что вы анализируете. Проверьте github.com/… или npmjs.com/search?q=parse+dsl для некоторых идей.
Доверяете ли вы своим пользователям?
@ AlexM Я согласен, это идет против всего. Я посмотрел на создание абстрактного синтаксического дерева и т. Д. (Обновленный вопрос со ссылками) . Я учел свой собственный синтаксис, но это еще одна кривая обучения для пользователя - я бы предпочел, чтобы они могли гуглить команды и т. Д.
@stdob Я согласен, Песочница действительно чувствует себя как правильный подход. Может быть, отдельный узел службы, который принимает параметры и код функции?
@ Bergi, хотя я действительно доверяю нашим пользователям, возможно, что их система может быть взломана, поэтому всегда лучше предполагать худшее

georg · Answer 1 · 2018-10-11T07-20-00.000Z

Самый безопасный способ - создать собственный анализатор/интерпретатор для некоторого подмножества javascript (или любого другого языка сценариев) или вашего собственного домена. Это большая работа, но все же намного проще и безопаснее, чем поддержка изолированной javascript VM на сервере и связь с ней.

спасибо за Ваш ответ. Да, я согласен, и это была моя первоначальная мысль, но вы правы, это большая работа, поэтому я подумал, что лучше сначала спросить сообщество. Кто-то должен был сделать это раньше
@JohnDoherty Я думаю, что есть много переводчиков игрушечных языков, но какой из них соответствует вашим конкретным требованиям («анализ строки»), мы не можем сказать.

Eriks Klotins · Answer 2 · 2018-10-11T08-27-00.000Z

Идея:

пользователи пишут свои пользовательские функции на веб-странице
веб-страница извлекает данные с сервера
пользовательская функция применяется к данным на стороне клиента
результаты отправляются обратно на сервер (убедитесь, что результаты не скомпрометированы)