JavaScript サンドボックスの探索

JavaScript サンドボックスの探索

1. シナリオ

最近、Web ベースのプラグイン システムに似たものに取り組んでおり、サードパーティ アプリケーションのコードを実行するために js サンドボックスを操作しています。

2. サンドボックスの基本機能

実装前に(正確にはいくつかの解決策を研究した後)、サンドボックスはevent bus通信に基づいて上位層機能を実装することが決定されました。基本的なインターフェースは次のとおりです。

エクスポートインターフェースIEventEmitter {
  /**
   * リスニングイベント * @param チャネル
   * @param ハンドル
   */
  on(チャネル: 文字列、ハンドル: (データ: any) => void): void;

  /**
   * リスニングをキャンセル * @param チャネル
   */
  offByChannel(チャンネル: 文字列): void;

  /**
   * トリガーイベント * @param チャネル
   * @param データ
   */
  出力(チャネル: 文字列、データ: 任意): void;
}

/**
 * 基本的な js vm 機能 */
エクスポートインターフェースIJavaScriptShadowboxはIEventEmitterを拡張します{
  /**
   * 任意のコードを実行する * @param code
   */
  eval(コード: 文字列): void;

  /**
   * インスタンスを破棄する */
  破棄(): void;
}

通信機能に加えて、次の 2 つの追加方法が必要です。

  • eval : jsコードを実行する
  • destroy : サンドボックスを破壊し、内部実装でいくつかのクリーンアップタスクを処理する

JavaScript サンドボックス図:

以下ではiframe/web worker/quickjsを使用して任意のjsを実行する方法を説明します。

3. iframeの実装

正直に言うと、Web のサンドボックスについて話すとき、最初に思い浮かぶのはおそらくiframeですが、これはエントリ ファイルとして js ではなくhtmlを使用するため、エントリとして js を使用したいが、必ずしもiframeを表示する必要がないシナリオにはあまり適していません。

もちろん、jsコードをhtmlでラップして実行することもできます。

関数 evalByIframe(コード: 文字列) {
  const html = `<!DOCTYPE html><body><script>$[code]</script></body></html>`;
  定数 iframe = document.createElement("iframe");
  iframeの幅 = "0";
  iframe.height = "0";
  iframe.style.display = "なし";
  document.body.appendChild(iframe);
  const blob = new Blob([html], { type: "text/html" });
  iframe.src = URL.createObjectURL(blob);
  iframe を返します。
}

evalByIframe(`
document.body.innerHTML = 'こんにちは世界'
console.log('location.href: ', location.href)
console.log('localStorage: ',localStorage)
`);

しかし、 iframeは次のような問題があります。

  • evalとほぼ同じです (主にObject.createObjectURLを使用し、相同性をもたらします) – 致命的
  • すべてのブラウザapi –すべてのdom apiではなく、挿入されたapiにのみアクセスできることを推奨します。

4. Webワーカーの実装

基本的に、 web worker 、js をエントリ ポイントとして使用し、 iframe

関数 evalByWebWorker(コード: 文字列) {
  const blob = new Blob([code], { type: "application/javascript" });
  url を URL.createObjectURL(blob) に変換します。
  新しい Worker(url) を返します。
}

WebWorkerによる評価(`
console.log('location.href: ', location.href)
// console.log('localStorage: ', localStorage)
`);

しかし同時に、 iframeよりも優れているのは確かだ

  • アクセスできないlocalStorage/document APIなど、サポートされるブラウザAPIは限られています。詳細については、[MDN] Web Workersで使用できる関数とクラスを参照してください。
  • 結局のところ、挿入されたAPIはすべて、 postMessage/onmessageに基づく非同期操作です。

5. Quickjsの実装

quickjsを使用する主なインスピレーションは、figmaのプラグインシステムに関するブログ投稿、quickjsの中国語ドキュメントから来ています。

quickjs とは何ですか?これは JavaScript ランタイムです。最も一般的に使用されるランタイムはブラウザとnodejsですが、他にも多くのランタイムがあり、GoogleChromeLabs/jsvu でさらに詳しく見つけることができます。 quickjswasmへのコンパイルをサポートし、ブラウザ上で実行される軽量の組み込みランタイムです。また、 es2020までの js 機能 (人気のPromiseasync/awaitを含む) もサポートしています。

非同期関数evalByQuickJS(コード:文字列) {
  const quickJS = getQuickJS() を待機します。
  定数 vm = quickJS.createVm();
  定数 res = vm.dump(vm.unwrapResult(vm.evalCode(code)));
  vm.dispose();
  res を返します。
}

 
console.log(evalByQuickJS(`1+1`) を待機します);

アドバンテージ:

  • 実際、セキュリティの面では比類のないもので、異なるvm上で実行されるため、既存のProxyベースのマイクロフロントエンドで発生する可能性のあるセキュリティ上の問題が発生しにくくなります。
  • 実際のテストはありませんが、 figmaのブログ投稿では、ブラウザの構造化クローンでは大きなオブジェクトを扱うときにパフォーマンスの問題が発生するのに対し、 quickjsではこの問題は発生しないと指摘されています。

欠点:

  • 共通のconsole/setTimeout/setIntervalなどのグローバルapi存在しません。これらはjsの機能ではなく、ブラウザとnodejsランタイムによって実装されているため、手動で実装して挿入する必要があり、これは大きな欠点です。
  • ブラウザのDevTooデバッグが使用できない
  • 基礎となる実装は C で行われるため、メモリの解放は手動で管理する必要があります。

6. 結論

最終的に、インターフェースに基づいて Web Worker と QuickJS の EventEmitter を実装し、いつでも切り替えられる機能をサポートすることを選択しました。

JavaScript サンドボックスの探索に関するこの記事はこれで終わりです。JavaScript サンドボックスに関するより関連性の高いコンテンツについては、123WORDPRESS.COM の過去の記事を検索するか、以下の関連記事を引き続き参照してください。今後とも 123WORDPRESS.COM をよろしくお願いいたします。

以下もご興味があるかもしれません:
  • Quickjs は JavaScript サンドボックスの詳細をカプセル化します
  • JavaScript Sandboxについての簡単な説明
  • フロントエンドJSサンドボックスを実装するいくつかの方法についての簡単な説明
  • Node.jsサンドボックス環境についての簡単な説明
  • Node.js アプリケーション用の安全なサンドボックス環境の設定
  • JS実装クロージャにおけるサンドボックスモードの例
  • JS サンドボックス モードの例の分析
  • JavaScript デザインパターン セキュリティ サンドボックス モード
  • WebWorkerはJavaScriptサンドボックスの詳細をカプセル化します

<<:  CSS BEM 記述標準の詳細な説明

>>:  MySQLトリガーの例の詳細な説明

推薦する

MySQLがbinlogファイルを手動で登録し、マスタースレーブ異常を引き起こす理由

1. 問題の原因友人の @水米田 から、POSITION に基づくマスタースレーブについて質問があり...

適応レイアウトの処理について(フロートとマージンネガティブマージンを使用)

適応型レイアウトは、実際のアプリケーションでますます一般的になっています。今日は、主にフローティング...

HTML thead タグの定義と使用法の詳細な紹介

コードをコピーコードは次のとおりです。 <thead> <!– 最初の 2 行をヘ...

フォーム送信の更新ページはソースコード設計にジャンプしません

1. ソースコードの設計コードをコピーコードは次のとおりです。 <!DOCTYPE html ...

Zabbix による SQL Server の監視プロセスの詳細な説明

Zabbix による SQL Server の監視を見てみましょう。まずfreetdsをダウンロード...

CocosCreator最適化DrawCallの詳細な説明

目次序文ドローコールとはDrawCall はパフォーマンスにどのような影響を与えますか?ドローコール...

基礎知識: ウェブサイトのアドレスの前の http はどういう意味ですか?

HTTPとは何ですか?ウェブサイトを閲覧したいときは、ブラウザのアドレス バーにウェブサイトのアド...

1行のコードでLinuxのプロセスを隠す方法を学ぶ

友人たちはいつも、Linux のプロセスを隠す方法を私に尋ねます。私は、どの程度隠したいのか、カーネ...

MySQL で重複を削除するには、distinct または group by を使用する必要がありますか?

序文group by と distinctive のパフォーマンス比較について: インターネット上の...

React Hook の使用例 (一般的なフック 6 つ)

1. useState: 関数コンポーネントに状態を持たせる使用例: // カウンター impor...

MySQL内部一時テーブルの具体的な使用法

目次連合テーブルの初期化ステートメントの実行連合の結果ユニオンオールグループ化十分なメモリステートメ...

Nginx 構成 クロスドメイン リクエスト Access-Control-Allow-Origin * 詳細な説明

序文403 クロスオリジン エラーが発生しNo 'Access-Control-Allow-...

MySQLユーザー管理操作例の分析

この記事では、MySQL ユーザー管理操作について説明します。ご参考までに、詳細は以下の通りです。こ...

SMS送信のカウントダウンを実装するJavaScript

この記事では、SMS送信のカウントダウンを実装するためのJavaScriptの具体的なコードを参考ま...

Vueプロジェクトのフロントエンドを最適化およびパッケージ化するための必須のボーナスアイテム

目次序文1. ルーティングの遅延読み込み1. ルートの遅延読み込みが必要なのはなぜですか? 2. ル...