IT技术 - 使 WebWorkers 成为一个安全的环境 - 吾爱随笔录

使 WebWorkers 成为一个安全的环境

IT技术 javascript web-worker

2021-01-17 16:12:50

为了拥有一个能够在浏览器中运行任意 javascript 代码的界面，而没有一个典型的 yo-mama 笑话那么大的安全漏洞，Esailija建议使用Web Workers。它们在半沙盒环境中运行（没有 DOM 访问权限并且已经在浏览器中）并且可以被杀死，因此用户不能将它们置于无限循环中。

这是他提出的例子：http : //tuohiniemi.fi/~runeli/petka/workertest.html（打开你的控制台）

jsfiddle（仅限谷歌浏览器）

现在，这似乎是一个很好的解决方案；然而，它是一个完整的（或接近完整的）吗？有什么明显的缺失吗？

整个事情（因为它连接到一个机器人）可以在 github 上找到：worker , evaluator

主要的：

workercode = "worker.js";

function makeWorkerExecuteSomeCode( code, callback ) {
    var timeout;

    code = code + "";
    var worker = new Worker( workercode );

    worker.addEventListener( "message", function(event) {
        clearTimeout(timeout);
        callback( event.data );
    });

    worker.postMessage({
        code: code
    });

    timeout = window.setTimeout( function() {
        callback( "Maximum execution time exceeded" );
        worker.terminate();
    }, 1000 );
}

makeWorkerExecuteSomeCode( '5 + 5', function(answer){
    console.log( answer );
});

makeWorkerExecuteSomeCode( 'while(true);', function(answer){
    console.log( answer );
});

var kertoma = 'function kertoma(n){return n === 1 ? 1 : n * kertoma(n-1)}; kertoma(15);';

makeWorkerExecuteSomeCode( kertoma, function(answer){
    console.log( answer );
});

工人：

var global = this;

/* Could possibly create some helper functions here so they are always available when executing code in chat?*/

/* Most extra functions could be possibly unsafe */

    var wl = {
        "self": 1,
        "onmessage": 1,
        "postMessage": 1,
        "global": 1,
        "wl": 1,
        "eval": 1,
        "Array": 1,
        "Boolean": 1,
        "Date": 1,
        "Function": 1,
        "Number" : 1,
        "Object": 1,
        "RegExp": 1,
        "String": 1,
        "Error": 1,
        "EvalError": 1,
        "RangeError": 1,
        "ReferenceError": 1,
        "SyntaxError": 1,
        "TypeError": 1,
        "URIError": 1,
        "decodeURI": 1,
        "decodeURIComponent": 1,
        "encodeURI": 1,
        "encodeURIComponent": 1,
        "isFinite": 1,
        "isNaN": 1,
        "parseFloat": 1,
        "parseInt": 1,
        "Infinity": 1,
        "JSON": 1,
        "Math": 1,
        "NaN": 1,
        "undefined": 1
    };

    Object.getOwnPropertyNames( global ).forEach( function( prop ) {
        if( !wl.hasOwnProperty( prop ) ) {
            Object.defineProperty( global, prop, {
                get : function() {
                    throw new Error( "Security Exception: cannot access "+prop);
                    return 1;
                }, 
                configurable : false
            });    
        }
    });

    Object.getOwnPropertyNames( global.__proto__ ).forEach( function( prop ) {
        if( !wl.hasOwnProperty( prop ) ) {
            Object.defineProperty( global.__proto__, prop, {
                get : function() {
                    throw new Error( "Security Exception: cannot access "+prop);
                    return 1;
                }, 
                configurable : false
            });    
        }
    });




onmessage = function( event ) {
    "use strict";
    var code = event.data.code;
    var result;
    try {
        result = eval( '"use strict";\n'+code );
    }
    catch(e){
        result = e.toString();
    }
    postMessage( "(" + typeof result + ")" + " " + result );
};

2个回答

当前代码（如下所列）已经在 Stackoverflow javascript 聊天室中使用了一段时间，到目前为止，最棘手的问题是Array(5000000000).join("adasdadadasd")当我运行代码执行器机器人时，我的一些浏览器选项卡立即崩溃。MonkeypatchingArray.prototype.join似乎已经解决了这个问题，并且 50 毫秒的最大执行时间适用于任何其他占用内存或使浏览器崩溃的尝试。

var global = this;

/* Could possibly create some helper functions here so they are always available when executing code in chat?*/

/* Most extra functions could be possibly unsafe */

var wl = {
    "self": 1,
    "onmessage": 1,
    "postMessage": 1,
    "global": 1,
    "wl": 1,
    "eval": 1,
    "Array": 1,
    "Boolean": 1,
    "Date": 1,
    "Function": 1,
    "Number" : 1,
    "Object": 1,
    "RegExp": 1,
    "String": 1,
    "Error": 1,
    "EvalError": 1,
    "RangeError": 1,
    "ReferenceError": 1,
    "SyntaxError": 1,
    "TypeError": 1,
    "URIError": 1,
    "decodeURI": 1,
    "decodeURIComponent": 1,
    "encodeURI": 1,
    "encodeURIComponent": 1,
    "isFinite": 1,
    "isNaN": 1,
    "parseFloat": 1,
    "parseInt": 1,
    "Infinity": 1,
    "JSON": 1,
    "Math": 1,
    "NaN": 1,
    "undefined": 1
};

Object.getOwnPropertyNames( global ).forEach( function( prop ) {
    if( !wl.hasOwnProperty( prop ) ) {
        Object.defineProperty( global, prop, {
            get : function() {
                throw "Security Exception: cannot access "+prop;
                return 1;
            }, 
            configurable : false
        });    
    }
});

Object.getOwnPropertyNames( global.__proto__ ).forEach( function( prop ) {
    if( !wl.hasOwnProperty( prop ) ) {
        Object.defineProperty( global.__proto__, prop, {
            get : function() {
                throw "Security Exception: cannot access "+prop;
                return 1;
            }, 
            configurable : false
        });    
    }
});

Object.defineProperty( Array.prototype, "join", {

    writable: false,
    configurable: false,
    enumerable: false,

    value: function(old){
        return function(arg){
            if( this.length > 500 || (arg && arg.length > 500 ) ) {
                throw "Exception: too many items";
            }

            return old.apply( this, arguments );
        };
    }(Array.prototype.join)

});


(function(){
    var cvalues = [];

    var console = {
        log: function(){
            cvalues = cvalues.concat( [].slice.call( arguments ) );
        }
    };

    function objToResult( obj ) {
        var result = obj;
        switch( typeof result ) {
            case "string":
                return '"' + result + '"';
                break;
            case "number":
            case "boolean":
            case "undefined":
            case "null":
            case "function":
                return result + "";
                break;
            case "object":
                if( !result ) {
                    return "null";
                }
                else if( result.constructor === Object || result.constructor === Array ) {
                    var type = ({}).toString.call( result );
                    var stringified;
                    try {
                        stringified = JSON.stringify(result);
                    }
                    catch(e) {
                        return ""+e;
                    }
                    return type + " " + stringified;
                }
                else {
                    return ({}).toString.call( result );
                }
                break;

        }

    }

    onmessage = function( event ) {
        "use strict";
        var code = event.data.code;
        var result;
        try {
            result = eval( '"use strict";\n'+code );
        }
        catch(e) {
            postMessage( e.toString() );
            return;
        }
        result = objToResult( result );
        if( cvalues && cvalues.length ) {
            result = result + cvalues.map( function( value, index ) {
                return "Console log "+(index+1)+":" + objToResult(value);
            }).join(" ");
        }
        postMessage( (""+result).substr(0,400) );
    };

})();

为什么 Math 和 parse* 函数被禁用？

2021-03-20 16:12:50

@Domi 为什么你认为他们被禁用

2021-03-24 16:12:50

@Domi 我认为您误解了 - 这是一种白名单方法。任何未列出的东西都是不允许的，而只允许列出的东西。白名单更好，因为它不需要在实现新 API 时更新。

2021-03-29 16:12:50

你怎么知道未来的 API 的？:-) 但是我现在已经检查过了，Object.defineProperty会抛出并阻止设置onmessage处理程序。

2021-03-31 16:12:50

@Domi *Timeout 和 *Interval 函数在jsfiddle.net/WuhrP/2中列出（我使用的是33.0.1750.152版本）

2021-04-08 16:12:50

问题中显示的当前代码 (2014-11-07) 尽管表面上不允许访问XMLHttpRequest（因为它未列入白名单），但仍然允许代码访问它。

如果我将代码放在网页和工作人员组合中的问题（或接受的答案）中，并在 Chrome 38 上执行以下代码：

makeWorkerExecuteSomeCode('event.target.XMLHttpRequest', function (answer) { console.log( answer ); });

结果是：

function XMLHttpRequest() { [native code] }

但是它在 FF 中不起作用。Chrome 中的错误？

我发现的另一件事，但似乎并没有深入到兔子洞的深处，那就是恢复console.log。这适用于 FF 31 但不适用于 Chrome 38：

makeWorkerExecuteSomeCode(
    'var c = self.__proto__.__proto__.__lookupGetter__("console").call(self); c.log("FOO");', 
    function (answer) { console.log(answer) });

这将登录"FOO"到控制台，而不会通过console.log网络工作者提供的虚假信息。上述用途的代码self，其可以（通过从白名单中移除）被列入黑名单，但this并global也工作。我发现尝试将globalFF 和 Chrome列入黑名单失败：工作人员因错误而死亡。

注意：Chrome 拒绝列入黑名单，Intl因此必须将其添加到白名单中才能运行代码。

那么有什么真正的解决方案吗？

2021-03-16 16:12:50

关于 Chrome 38 中的漏洞的一个很好的观点，但这很容易填充：只需在try/catchin周围放置一个闭包，onmessage然后在闭包内重新定义eventwith var event;。

2021-03-20 16:12:50

其它你可能感兴趣的问题

上一篇Javascript window.open 使用 POST 传递值下一篇Javascript 类型数组和字节序