问题标签 [sandbox]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
.net - 如何使用 Sandbox 在 .NET 中创建插件模型?
有没有办法将 .NET 程序集加载到同样受自定义方式限制的沙盒环境中?我知道您可以在不同的 AppDomain 中运行程序集,但是您可以限制它执行您想要限制的某些事情吗?
例如:我希望能够在 ASP.NET 应用程序的单独程序集中加载插件(简单,只需通过特定接口定义),但我只希望插件能够访问某些数据访问层组件并且无法直接连接到任何数据库。我正在考虑让单个应用程序实例托管多个客户端数据的场景,并且我只希望插件能够访问当前登录的特定客户端/用户的数据。
有人对如何做到这一点有任何想法吗?
我在这里找到了关于如何在沙箱中加载程序集的以下问题,但它没有谈到添加沙箱的任何自定义限制:
更新:看起来您可以在调用“ AppDomain.CreateDomain ”时设置一个非常具体的“ PermissionSet ” ,但我不确定我需要设置哪些权限来允许/禁止上面指定的权限。MSDN 上也有这篇文章:http: //msdn.microsoft.com/en-us/library/bb763046.aspx
另外,我希望在 .NET 2.0/3.5 中执行此操作
除了使用 System.AddIn 之外,还有什么其他想法吗?
apache - Symfony Sandbox 1.2 解压到 web 文件夹后返回一个空白页面
我在我的 Windows XP 机器上运行了 symfony 1.0,但最近想试试 Symfony 1.2。
我解压了沙箱并设置了一个虚拟主机。返回的页面是空白的。
http://sf_sandbox/web/返回一个空白页 http://sf_sandbox/web/frontend_dev.php/返回一个空白页
PHP、SQLite、Mysql 都很好。
我厌倦了添加
到 index.php 并按预期输出。
知道发生了什么吗?
lua - 如何创建安全的 Lua 沙箱?
所以 Lua 似乎非常适合在我的应用程序中实现安全的“用户脚本”。
但是,嵌入 lua 的大多数示例似乎都包括加载所有标准库,包括“io”和“package”。
所以我可以从我的解释器中排除这些库,但即使是基本库也包括访问文件系统的函数“dofile”和“loadfile”。
我怎样才能删除/阻止任何像这样的不安全功能,而不仅仅是最终得到一个甚至没有像“ipairs”功能这样的基本东西的解释器?
java - Google App Engine 沙盒如何工作?
Google App Engine 沙盒如何工作?
我需要做些什么来创建自己的沙箱(以安全地允许我的客户在我的引擎上运行他们的应用程序,而无需让他们能够格式化我的磁盘驱动器)?它只是类加载器魔术,字节操作还是什么?
.net - C# 中的“看门狗”或沙盒系统
我有一个功能,我想允许它运行给定的时间长度,然后,如果它没有自行退出,则中止。做这个的最好方式是什么?
我想到的最好的方法是在另一个线程中运行它,等待它超时,然后用Thread.Abort()它来杀死它(如果函数的块类型错误,这可能不起作用catch)。另一种选择(我不知道如何工作)将是某种带有投掷的抢先计时器。
有没有更好的办法?某种简单的沙盒系统?
编辑:我将要运行的功能没有任何系统来检查它是否应该取消,我不能(如不能)添加它。此外,这是一种测试工具,因此我将杀死该功能的条件是它已经运行异常。在那种情况下,我不能指望它正确地做任何事情。
iphone - iPhone沙盒规则文件
在哪里可以找到 3.0 固件的应用程序沙盒规则文件?我记得在 2.x 的某个地方看到过它,但现在找不到了。
python - 防止 Python 代码导入某些模块?
我正在编写一个应用程序,用户可以在其中输入 python 脚本并在沙箱中执行它。我需要一种方法来阻止执行的代码导入某些模块,因此恶意代码不会成为太大的问题。有没有办法在 Python 中做到这一点?
javascript - 服务器端 JavaScript 清理或沙箱?
我正在考虑允许用户输入 JavaScript 以在我的应用程序中指定一些逻辑。JavaScript 将被输入并显示在浏览器中,但它会被保存并首先在服务器端进行验证。
这带来了明显的安全隐患。
理想情况下,我只想允许 JavaScript 语言的一个子集。直观地说,选择加入方法 - 指定允许的内容,并禁止其他所有内容 - 似乎比选择退出方法 - 指定不允许的内容更安全。
我见过的很多解决方案都是客户端的——我认为服务器端的解决方案更适合我的需求,因为如果 JavaScript 无效,我可以向用户提供反馈,并且只在服务器上保存一次它是“干净的”。
放置一些东西来解析 JavaScript 并执行一些检查也很有用 - 例如,我会向用户提供一些变量,我想检查他们没有使用任何未初始化的变量,或者代码以预期的格式返回一些东西。沙盒解决方案至少应该不会阻碍这一点,但它可能会积极提供帮助 - 如果它通过解析代码而不仅仅是正则表达式来工作,并且我可以放入自己的钩子来检查一些语法。
Google Caja 看起来可以做我想做的事,但我并没有深入研究它。
你会推荐什么方法?
开源解决方案很棒。我不介意编写自己的代码,但这似乎是一个从头开始正确解决的重要问题。
apache-flex - 使用 Flex/Flash 应用程序打包一些文件?
是否可以在 .swf 中使用 Flex 应用程序打包 XML 文件?
使用 Silverlight 应用程序,您可以很容易地做到这一点,但如果您使用的是 flash,则必须在 flash 中执行 http 请求才能获取它?
自从我做了一个非常严肃的 Silverlight 应用程序并使用本地 txt 和 xml 文件作为设置\数据以来,我一直在想这个问题。
是的,我知道它可以用 AIR 来完成——请不要提及任何 adobe AIR 特定包
database - 是否有允许针对多个数据库产品测试代码的服务?
我们正在编写一个开源工具,旨在针对多个数据库产品工作(实际上,它旨在与任何具有可用 JDBC 驱动程序的数据库一起工作)。但是,因为它执行 DDL(不是 DML),所以我们需要针对不同的产品进行测试。
虽然 MySQL、PostgreSQL 和其他开源数据库对我们来说很容易测试(因为我们 - 开发人员 - 每天都使用这些),但测试这些产品很容易。但是,找到其他商业数据库产品的不同安装方式是另一回事。
有谁知道“数据库沙箱”或类似的服务,它允许我们针对多个数据库产品测试代码,而无需购买和安装它们?
提前致谢!