0

这是纯 JavaScript 沙箱的可能解决方案吗?我的意愿是执行不受信任的代码字符串,而不授予对 DOM、窗口、this 等的访问权限,但允许用户访问 Math、JSON 和其他功能。我已经在 Chrome 上测试过了。

更新:我想提供保存服务器用户定义代码并使其可供其他用户使用的可能性。我正在寻找一种方法来拒绝访问文档 ni 以使其安全。

function safe(code,args)
{
    if (!args)
        args=[];
    return (function(){
      for (i in window) 
        eval("var "+i+";");
      return function(){return eval(code);}.apply(0,args);
    })();
}



ff=function()
{
    return 3.14;
}

console.log(safe("this;"));//Number
console.log(safe("window;"));//undefined
console.log(safe("console;"));//undefined
console.log(safe("Math;"));//MathConstructor
console.log(safe("JSON;"));//JSON
console.log(safe("Element;"));//undefined
console.log(safe("document;"));//undefined
console.log(safe("Math.cos(arguments[0]);",[3.14]));//-0.9999987317275395
console.log(safe("arguments[0]();",[ff]));//3.14

我在一个旧帖子上提出了它:https ://stackoverflow.com/a/11513690/76081

谢谢!

4

1 回答 1

2

这是不安全的。以下构造将从window您的沙箱中获取全局对象:

(function(){return this;})()

此时,您可以从中提取任何您想要的内容,包括document.

向 TJ Crowder 致敬,感谢他在https://stackoverflow.com/a/2673780/149341上的回答,他在其中描述了这个漏洞。

于 2012-07-16T23:21:19.673 回答