6

我是 V8 的新手,并计划在 python Web 应用程序中使用它。目的是让用户提交和执行某些 JS 脚本。显然这是一种安全威胁,因此我正在寻找资源来记录人们可能“锁定”v8 的方式。例如,我可以创建一个允许调用的函数的白名单吗?还是不允许引用的库黑名单?

4

2 回答 2

1

如果您使用普通的 V8(即不是 node.js 之类的东西),就不会有任何危险的功能。JavaScript 本身没有包含文件系统函数等的标准库。

恶意用户唯一能做的就是创建无限循环、深度递归和内存占用。

于 2012-03-20T23:49:28.120 回答
0

是否会简单地锁定 V8 实例(即:在 chroot 中不授予它权限)并在一段时间后不返回时终止进程不起作用?

于 2012-03-20T23:28:52.993 回答