1

我想在 Node 中运行一些不受信任的代码,如下所示:

for (var i = 0; i < 5; i++){
    green_led(1);
    sleep(500);
    green_led(0);
    sleep(500);
}

使用 Fibers,我得到了按预期工作的同步行为:

var Fiber = require('fibers');

function sleep(ms){
    var fiber = Fiber.current;
    setTimeout(function(){ fiber.run(); }, ms);
    Fiber.yield();
}
function green_led(active){
    //...
}
Fiber(function(){
    for (var i = 0; i < 5; i++){
        green_led(1);
        sleep(500);
        green_led(0);
        sleep(500);
    }
}).run();

困难在于如何对代码进行沙箱化。不得不使用 Fibers 让事情变得非常复杂。我不确定如何开始。如何使用vm2将上述沙盒化?例如,以下显然行不通:

var code = "\
for (var i = 0; i < 5; i++){\
    green_led(1);\
    sleep(500);\
    green_led(0);\
    sleep(500);\
}\
";
function sleep(ms){
    var fiber = Fiber.current;
    setTimeout(function(){ fiber.run(); }, ms);
    Fiber.yield();
}
function green_led(active){
    //...
}
Fiber(function(){
    vm.run(code);
}).run();

(它不起作用,因为VMgreen_ledsleep的沙盒代码不可见)。

这应该怎么做?任何一个...

  1. 也许一切都应该在虚拟机内部运行,包括光纤和实现green_led等?
  2. 或者最好让VM运行的代码最小化,而不是以某种方式白名单/代理green_ledsleep?在灰质上并不容易,首先要理解纤维是如何工作的已经够难的了!
4

1 回答 1

1

这实际上很简单。

var Fiber = require('fibers');

const {VM} = require('vm2');
const vm = new VM({
    sandbox: {
        green_led: green_led,
        sleep: sleep
    }
});

function sleep(ms){
    var fiber = Fiber.current;
    setTimeout(function(){ fiber.run(); }, ms);
    Fiber.yield();
}
function green_led(active){
    //...
}

vm.run(
    `Fiber(function(){
        for (var i = 0; i < 5; i++){
            green_led(1);
            sleep(500);
            green_led(0);
            sleep(500);
        }
    }).run()`
);

上述方法通过沙箱对象传递Fiber对其他函数sleep的引用。green_led这可以通过其他方式完成。例如,sleepandgreen_led可以在传递给 的字符串中定义vm.run(),而 vm 本身可以include fibers像这样:

const {NodeVM} = require('vm2');
var vm = new NodeVM({
    require: {
        external: true,
    }
});
vm.run(
    `
    var Fiber = require("fibers");
    function sleep(ms){
        var fiber = Fiber.current;
        setTimeout(function(){ fiber.run(); }, ms);
        Fiber.yield();
    }
    function green_led(active){
        //...
    }
    Fiber(function(){
        for (var i = 0; i < 5; i++){
            green_led(1);
            sleep(500);
            green_led(0);
            sleep(500);
        }
    }).run()`
);

根据文档VM,请注意和之间的区别NodeVM。在上述两种方法中,只有第一种可以使用超时功能。此外,第二种方法也不能幸免于while (true) {}等。

于 2016-12-10T23:15:39.390 回答