【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

漫谈 B 端的沙箱技术

  • 2010-06-02
  • 本文字数:3207 字

    阅读完需:约 11 分钟

从语言学的角度上来说,允许代码无节制地使用全局变量,是最错误的选择之一。而更可怕的,就是一个变量"可能"成为全局的(在未知的时间与地点)。但是这两项,却伴随 JavaScript 这门语言成功地走到了现在。

也许是限于浏览器应用的规模,所以这一切还迟迟没有酿成灾难。在此之前,出现了两种解决方案。一种是 ECMA 在新的规范(Edition 5)中对此做出了限制,其中最重要的一条便是 eval() 的使用变得不再随意和无度。而另一种方案,则是相对没有那么官僚与学术的,尽管也拥有一个同样学术的名字:沙箱。

沙箱(Sandbox)并不是一个新东西,即使对于 JavaScript 来说,也已经存在了相当长的时间。在 SpiderMonkey JS 的源代码中,就明确地将一个闭包描述为一个沙箱。这包含着许多潜在的信息:它有一个初始环境,可以被重置,可以被复制,以及最重要的,在它内部的所有操作,不会影响到外部

当然事实上远非如此。JavaScript 里的闭包只是一个"貌似沙箱"的东西–仍然是出于 JavaScript 早期的语言规范的问题,闭包不得不允许那些"合法泄漏"给外部的东西。而对于这一切无法忍受的前端工程师们,开始寻求另外的解决之道,这其中相对较早的尝试,是基于 IFRAME 的实践。例如 dean.edwards 在 2006 年提出过的方案(注 1):

复制代码
a_frames.document.write(
"<script>"+
"var MSIE/*@cc_on =1@*/;"+ // sniff
"parent.sandbox=MSIE?this:{eval:function(s){return eval(s)}}"+
"<\/script>"
);

显然,由于在不同的 IFRAME 中运行着各自的 JavaScript 引擎实例,所以上述的方案也意味着沙箱是"引擎"这个级别的:在任何一个沙箱中的崩溃,将导致该引擎以及对应 IFRAME 崩溃。但–理论上说–不会影响整个浏览器。

问题是,这并不那么理想。往往的,引擎会导致整个浏览器锁在那里,例如用 alert() 弹出一个对话框而又因为某种意外失去了焦点。又或者单个的 IFRAME 会导致全局的 CPU 被耗光,例如一个死循环。于是更加复杂的方案–在 JavaScritp 中包含一个完整的执行器–出现了。最有名的则是 Narrative JavaScript,它内建了一个执行器,用于逐行地解释执行 JavaScript 代码,这使得它可以控制所有的代码执行序列,或者随时重置整个执行引擎–如同一个沙箱所要做的那样。

这一切或者太过依赖于环境,又或者太过复杂,但都不乏追随者。例如 jsFiddle 这个项目(注 2)在"嵌入或装载"这样的路子上就已经有了不俗的成绩。但是,YUI 在新版本中却给出了它自己的选择:以更加明确的编程约定,来实现应用级别的沙箱。这包括一个非常简单的、新的 YUI 语法:

复制代码
YUI().use('dom-base', function(Y) {
// Y 是一个新的沙箱
});

在’dom-base’位置上,可以是 1 到 N 个字符串,表明一个需要在沙箱中装载的模块列表。这可以是沙箱的初始列表,或者后续的 callback 函数 (亦即是用户代码) 所需依赖的模块列表。在这种实现方案中,YUI 为每个沙箱维护各自的装载模块列表和上下文环境中的变量、成员。但是出于 JavaScript 语言自己的局限,这个沙箱依然是相当脆弱的。例如下一示例中沙箱内的代码就会污染到全局:

复制代码
YUI().use('', function(Y) {
abc = 1234; //<-- 这里可能导致一个全局变量'abc'被隐式地声明
});

同样,在上述的沙箱里也可以使用类似 window、document 等全局变量、修改它们的成员或无限制地调用方法(例如使用 setTimeout() 来创建时钟)。所以 YUI 的沙箱事实上是靠"规约"来约束的,而不是真正意义上的沙箱。当然,这也意味着,如果用户能按照规约来处理沙箱内的代码,那么也就能自由地享用它带来的便利:安全、移植和有效的隔离副作用。

而我们再穷究其根底,YUI 沙箱的实质不过是一行:

复制代码
// code from yui.js
// - mod.fn(this, name)
mod.entryFunc(sandbox, modName);

其实际含义是:

  • mod :沙箱当前装载的模块;
  • entryFunc : 上述模块的入口函数;
  • sandbox :当前的沙箱的实例,即 YUI() 返回值;
  • modName:模块名

除了依赖关系(以及可能需要的异步加载)之外,YUI 沙箱环境仅是用下面的代码来简单地调用 callback 函数:

复制代码
callback(Y, response);

然而这些需求的实现并不那么复杂。首先,我们设定数据结构 mod 为一个对象:

复制代码
{ name:modName, fn: entryFunc, req: [], use: [] }

则一个环境对象 env,将包括多个 mod(将它们处理成对象而非数组,主要是便于使用名字来索引模块) 和以及对它们进行管理操作的方法:

复制代码
{ mods:{}, used:{}, add:..., use:...}

最后,所谓一个沙箱 sandbox,就是上述环境对象的一个实例,并在初始时 sandbox.mods 与 sandbox.used 为空。由此简单的实现为:

复制代码
/**
* tiny sandbox framework
* mirror from YUI3 by aimingoo.
**/
function Sandbox() {
if (!(this instanceof arguments.callee)) return new arguments.callee();
this.mods = this.mods || {};
this.used = {};
}
Sandbox.prototype = {
add: function(modName, entryFunc, reqArr, useArr) {
this.mods[modName] = { fn: entryFunc, req: reqArr, use: useArr }
},
use: function() {
var mods = [].slice.call(arguments, 0); // 0..length-2 is modNames
var callback = mods.pop(); // length-1 is callback
var recursive_load = function(name, mod) {
if (!this.used[name] && (mod=this.mods[name])) {
mod.req.forEach(recursive_load, this);
mod.fn(this, name);
mod.use.forEach(recursive_load, this);
this.used[name] = true;
}
}
mods.forEach(recursive_load, this);
callback(this);
}
}

现在我们来尝试一个与 YUI 类似的语法风格:

复制代码
Sandbox().use('', function(){
alert('user code.');
});

或者,先向整个 Sandbox 环境注册一些模块(在真实的框架实现中,这一步可能是通过框架的装载器来初始化):

复制代码
// for test, entry of mods
f1 = function() { alert('f1') };
f2 = function() { alert('f2') };
f3 = function() { alert('f3') };
// mods for global/common env.
Sandbox.prototype.mods = {
'core': { fn: f1, req: [], use: [] },
'oo': { fn: f2, req: ['core'], use: ['xml'] },
'xml': { fn: f3, req: [], use: [] }
}

然后再尝试在一个沙箱实例中运行代码:

复制代码
// f1 -> f2 -> f3 -> user code
Sandbox().use('oo', function(){
alert('user code.');
});

其实即便是上述代码中用于处理模块依赖的逻辑,也并不是什么"神奇的"代码或者技巧。除开这些,这样的沙箱隔离泄露的能力还抵不过一个嵌入式 DSL 语言。而后者所应用的技巧很简单,看不出什么花招(注 3):

复制代码
with (YUI()) this.eval("... mod_context ... ");

这样一来,在 mod_context 里的代码就只会在 YUI() 的一个实例中造成污染了。当然,仍然是源于 JavaScript 的限制,我们还是无法避免一个变量泄露到全局–除非,我们回到 js in js 这个项目(注 4),真的在环境中重新初始化一个 js 引擎。

从这一意义上来说,引擎级别的沙箱与操作系统的进程一样,带来的是终级的解决方案,所以 Chrome、IE 等等主流浏览器纷纷有了"独立进程"模式。而在这样的背景之下,试图用"框架内置沙箱"来改善 ECMAScript ed3 中一些设计疏失的种种努力,不过是一张张空头的支票罢了。

甚至,用这本支票签完单也未必有人会收的。

备注

注 1: http://dean.edwards.name/weblog/2006/11/sandbox/
注 2: http://jsfiddle.net/
注 3: http://blog.csdn.net/aimingoo/archive/2009/09/08/4532496.aspx
注 4: http://mxr.mozilla.org/mozilla/source/js/narcissus/


作者简介:周爱民,国内软件开发界资深软件工程师,架构师。有十余年的软件开发、项目管理、团队建设的经验,历任部门经理、区域总经理、高级软件工程师、平台架构师等职。现任支付宝(中国)公司业务架构师。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家加入到 InfoQ 中文站用户讨论组中与我们的编辑和其他读者朋友交流。

2010-06-02 00:056815

评论

发布
暂无评论
发现更多内容

软件测试 | 接口自动化测试超时处理

测吧(北京)科技有限公司

测试

详解神经网络基础部件BN层

华为云开发者联盟

人工智能 华为云 企业号 2 月 PK 榜 华为云开发者联盟

《Linux命令行与shell脚本编程大全》有奖书评活动!

图灵教育

Linux shell脚本编程

【网易云信】海量并发低延时 RTC-CDN 系统架构设计(下)

网易智企

IM RTC 实时音视频

软件测试/测试开发 | 测试人员必须掌握的测试用例

测试人

软件测试 自动化测试 测试开发 测试用例

怎么写一份好的接口文档?

Liam

Java API 免费API接口 API接口 API接口文档

架构训练营模块六作业

gigifrog

软件测试 | From请求

测吧(北京)科技有限公司

测试

软件测试/测试开发 | 这些常用测试平台,你们公司在用的是哪些呢?

测试人

软件测试 自动化测试 测试开发

BlueShore Financial 通过 F5 筑起财务安全防线

F5 Inc

自动化 金融 WAAP

HarmonyOS Connect认证测试

HarmonyOS开发者

HarmonyOS

软件测试/测试开发 | 黑盒测试方法论—等价类

测试人

软件测试 自动化测试 测试开发 测试用例 测试方法

Bytebase:让数据库管理和协作变得无缝

天黑黑

MySQL 云原生 dba 数据库管理工具

抽丝剥茧!为您揭秘ChatGPT背后的数据库

华为云开发者联盟

数据库 华为云 ChatGPT 企业号 2 月 PK 榜 华为云开发者联盟

CodeArts Snap:辅助你编程的神器

华为云开发者联盟

云计算 华为云 企业号 2 月 PK 榜 华为云开发者联盟

软件测试 | JSON响应断言

测吧(北京)科技有限公司

测试

软件测试 | 接口测试文件上传测试

测吧(北京)科技有限公司

测试

软件测试/测试开发 | 黑盒测试方法论—边界值

测试人

软件测试 自动化测试 测试开发 测试用例 测试方法

《Linux命令行与shell脚本编程大全》有奖书评活动!

图灵社区

Linux shell脚本编程 shell脚本

海量并发低延时 RTC-CDN 系统架构设计(下)

网易云信

实时音视频

缤纷三月,安势信息邀您共话企业开源风险治理

安势信息

开源 安全合规 清源CleanSource SCA 安势信息 开源风险治理

软件测试 | JSON Schema断言

测吧(北京)科技有限公司

软件测试/测试开发 | 做为测试,那些不得不掌握的测试技术体系

测试人

软件测试 自动化测试 测试开发

ChatGPT 可收费的那种产品该如何实现?一点尝试 | 社区征文

非喵鱼

Java openai ChatGPT

2023年1月用户体验GX评测:商业银行抢抓新春营销旺季,多措并举持续提升用户体验

易观分析

金融 银行 经济

2023AIOTE智博会 第十五届上海国际智慧城市、物联网、大数据博览会

InfoQ_caf7dbb9aa8a

热点2023第十五届上海国际智慧工地展览会

InfoQ_caf7dbb9aa8a

软件测试 | Header cookie处理

测吧(北京)科技有限公司

测试

软件测试 | 接口自动化测试代理配置

测吧(北京)科技有限公司

测试

Deltatech Gaming Ltd. 携手 F5 缔造更安全的在线游戏体验

F5 Inc

安全 游戏 waf

手把手教大家在 gRPC 中使用 JWT 完成身份校验

江南一点雨

Java gRPC

漫谈B端的沙箱技术_Java_周爱民_InfoQ精选文章