问题标签 [sandbox]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby - 从 ruby 脚本更改调用 shell 的当前工作目录
我正在编写一个简单的 ruby 沙箱命令行实用程序来将目录从远程文件系统复制和解压缩到本地临时目录,以便解压缩它们并让用户编辑文件。我使用 Dir.mktmpdir 作为默认的临时目录,它提供了一个非常丑陋的路径(例如:/var/folders/zz/zzzivhrRnAmviuee+++1vE+++yo/-Tmp-/d20100311-70034-abz5zj)
我希望复制和解压缩脚本的最后一个操作是将调用 shell cd 到新的临时目录中,以便人们可以轻松访问它,但我不知道如何更改调用 shell 的 PWD。一种可能性是让实用程序打印出 stdout 的新路径,然后将脚本作为子 shell 的一部分运行(即cd $(sandbox my_dir)),但我想打印出复制和解压缩的进度,因为它可能需要 10 分钟,所以这行不通。我应该把它放到一个预先确定的、容易找到的暂存目录吗?有人有更好的建议吗?在此先感谢您的帮助。-埃里克
python - 伪造文件系统/虚拟文件系统
我有一个 Web 服务,用户将在服务器上运行的 python 脚本上传到该服务。这些脚本处理服务器上的文件,我希望它们只能看到服务器文件系统的某个层次结构(最好:一个临时文件夹,我在其中复制要处理的文件和脚本)。
该服务器最终将是基于 linux 的服务器,但如果在 Windows 上也可以找到解决方案,那么很高兴知道如何做。
我想到的是创建一个对 FS 文件夹具有受限访问权限的用户 - 最终只有包含脚本和文件的文件夹 - 并使用该用户启动 python 解释器。
有人可以给我一个更好的选择吗?因为仅仅依靠它会让我感到不安全,所以我想要一个真正的沙盒或虚拟 FS 功能,我可以在其中安全地运行不受信任的代码。
c# - 创建沙盒 C#
有没有关于如何使用 C# 创建沙箱的教程?
我想个性化我自己的,谢谢
linux - ideone.com 和 codepad.org 等脚本
是否有像ideone.com和codepad.org使用的自动编译脚本可用?
(最好是开源的,并且在安全的环境中执行代码。)
ruby-on-rails - 如何安全地让用户为 Rails 应用程序提交自定义主题/插件
在我的 Rails 应用程序中,我想让用户提交自定义“主题”以各种方式显示数据。
我认为他们可以使用 API 调用获取视图中的数据,我可以为此创建身份验证机制。也是一个经过身份验证的 API 来保存数据。所以这可能是安全的。
但我正在努力寻找让用户上传/提交他们自己的主题代码的最佳方式。
我希望这有点像人们可以上传东西的 Wordpress 主题/插件。但存在一些安全隐患。例如,如果我将用户提交的上传“主题”放在 Rails 应用程序内的某个目录中,这有什么风险?
如果用户在他们的主题中插入任何 Rails 可执行代码,即使这是他们当时对所有模型、每个人的数据等具有完全访问权限的视图,即使来自其他用户也是如此。所以这不好。
我需要一些方法让上传的主题存在于 rails 应用程序的沙箱中,但我还没有看到一个好的方法来做到这一点。有任何想法吗?
security - 安全沙盒违规 - 加载文件系统和网络 SWF 文件
我已经用 Flash 构建了我的整个网站,并在其中嵌入了几个 swf 对象(幻灯片)。当我将它作为 swf 电影发布时一切正常,但现在我想上传我的网站,出现一条错误消息:
错误 #2044:未处理的 SecurityErrorEvent:。text=Error #2140: 安全沙箱违规:file:///mylayout.swf 无法加载 file:///slideshow_1.swf。Local-with-filesystem 和 local-with-networking SWF 文件不能相互加载。
我知道这与一个 swf 文件是文件系统本地文件和另一个通过网络本地文件这一事实有关,但是在我的发布设置中,我告诉它只访问本地文件。那没有帮助。
我将我的网站托管在www.all-inkl.com; 除此之外,我还没有上传;我只是在离线测试它。我知道我应该在某处添加此代码:
但我不确定在哪里添加它。也许到我的时间线?
ruby - Ruby 的脚本引擎?
我正在创建一个 Ruby On Rails 网站,一方面它需要是动态的,以便(排序)受信任的用户可以使网站的某些部分以不同的方式工作。为此,我需要一种脚本语言。在 ASP.Net 中的一个类似项目中,我编写了自己的脚本语言/DSL。我不能使用那个源代码(在工作中编写),如果我不需要的话,我不想制作另一种脚本语言。
那么,我有哪些选择?脚本必须被锁定并且不能使我的服务器或任何东西崩溃。如果我可以使用 Ruby 作为脚本语言,我真的很高兴,但这并不是绝对必要的。此外,几乎每个网站请求都会调用此脚本部分,有时不止一次。所以,速度是一个因素。
我查看了 RubyLuaBridge,但它是 Alpha 状态,似乎已经死了。
在 Ruby 项目中我有哪些脚本语言选择?
此外,我将完全控制该项目的部署位置(root 访问权限),因此没有真正的限制..
java - Java 有内置的防病毒软件吗?这是真的吗?
Java 有内置的防病毒软件吗?
我的一位朋友告诉我,JVM 本身就有——它被称为“沙箱”。这是真的吗?
c# - 如果没有本地 app.config,是否可以使用 System.Configuration?如果可能的话,怎么做?
我有一个在非常受限的区域运行的客户端应用程序 - 它无法直接访问它正在运行的计算机。我不想发明另一个 System.Configuration 系统来配置我的应用程序。
但是 ConfigurationManager 中没有允许从字符串或流加载配置的方法。
在我看来,在这种特定情况下使用 ConfigurationManager 是不可能的,但可能(并且我希望)是错误的?
javascript - 谷歌浏览器扩展“内容”脚本是否被沙盒化?
我的印象是 content_scripts 是在页面上执行的,但现在似乎正在进行一些沙盒。
我正在开发一个扩展来记录站点的所有 XHR 流量(用于调试和其他开发目的),并且在控制台中,以下嗅探代码有效:
每次发送 XHR 时都会记录一条消息。然而,当我把它放在一个扩展中时,真正的原型并没有得到修改。显然,我的脚本看到的 window.XMLHttpRequest.prototype 与实际页面的不同。
有没有办法解决这个问题?此外,这种沙盒行为是否记录在任何地方?我环顾四周,但找不到任何东西。