51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

基于 WebWorker 封装 JavaScript 沙箱

作者:佚名
开发 前端
如果你不知道 web worker 是什么或者从未了解过,可以查看 Web Workers API 。简而言之,它是一个浏览器实现的多线程,可以运行一段代码在另一个线程,并且提供与之通信的功能。

  [[430837]]

在前文 基于quickjs 封装 JavaScript 沙箱 已经基于 quickjs 实现了一个沙箱,这里再基于 web worker 实现备用方案。如果你不知道 web worker 是什么或者从未了解过,可以查看 Web Workers API 。简而言之,它是一个浏览器实现的多线程,可以运行一段代码在另一个线程,并且提供与之通信的功能。

实现 IJavaScriptShadowbox

事实上,web worker 提供了 event emitter 的 api,即 postMessage/onmessage ,所以实现非常简单。

实现分为两部分,一部分是在主线程实现 IJavaScriptShadowbox ,另一部分则是需要在 web worker 线程实现 IEventEmitter

主线程的实现

  1. import { IJavaScriptShadowbox } from "./IJavaScriptShadowbox"
  2.  
  3. export class WebWorkerShadowbox implements IJavaScriptShadowbox { 
  4.   destroy(): void { 
  5.     this.worker.terminate(); 
  6.   } 
  7.  
  8.   private worker!: Worker; 
  9.   eval(code: string): void { 
  10.     const blob = new Blob([code], { type: "application/javascript" }); 
  11.     this.worker = new Worker(URL.createObjectURL(blob), { 
  12.       credentials: "include"
  13.     }); 
  14.     this.worker.addEventListener("message", (ev) => { 
  15.       const msg = ev.data as { channel: string; data: any }; 
  16.       // console.log('msg.data: ', msg) 
  17.       if (!this.listenerMap.has(msg.channel)) { 
  18.         return
  19.       } 
  20.       this.listenerMap.get(msg.channel)!.forEach((handle) => { 
  21.         handle(msg.data); 
  22.       }); 
  23.     }); 
  24.   } 
  25.  
  26.   private readonly listenerMap = new Map<string, ((data: any) => void)[]>(); 
  27.   emit(channel: string, data: any): void { 
  28.     this.worker.postMessage({ 
  29.       channel: channel, 
  30.       data, 
  31.     }); 
  32.   } 
  33.   on(channel: string, handle: (data: any) => void): void { 
  34.     if (!this.listenerMap.has(channel)) { 
  35.       this.listenerMap.set(channel, []); 
  36.     } 
  37.     this.listenerMap.get(channel)!.push(handle); 
  38.   } 
  39.   offByChannel(channel: string): void { 
  40.     this.listenerMap.delete(channel); 
  41.   } 

web worker 线程的实现

  1. import { IEventEmitter } from "./IEventEmitter"
  2.  
  3. export class WebWorkerEventEmitter implements IEventEmitter { 
  4.   private readonly listenerMap = new Map<string, ((data: any) => void)[]>(); 
  5.  
  6.   emit(channel: string, data: any): void { 
  7.     postMessage({ 
  8.       channel: channel, 
  9.       data, 
  10.     }); 
  11.   } 
  12.  
  13.   on(channel: string, handle: (data: any) => void): void { 
  14.     if (!this.listenerMap.has(channel)) { 
  15.       this.listenerMap.set(channel, []); 
  16.     } 
  17.     this.listenerMap.get(channel)!.push(handle); 
  18.   } 
  19.  
  20.   offByChannel(channel: string): void { 
  21.     this.listenerMap.delete(channel); 
  22.   } 
  23.  
  24.   init() { 
  25.     onmessage = (ev) => { 
  26.       const msg = ev.data as { channel: string; data: any }; 
  27.       if (!this.listenerMap.has(msg.channel)) { 
  28.         return
  29.       } 
  30.       this.listenerMap.get(msg.channel)!.forEach((handle) => { 
  31.         handle(msg.data); 
  32.       }); 
  33.     }; 
  34.   } 
  35.  
  36.   destroy() { 
  37.     this.listenerMap.clear(); 
  38.     onmessage = null
  39.   } 

使用

主线程代码

  1. const shadowbox: IJavaScriptShadowbox = new WebWorkerShadowbox(); 
  2. shadowbox.on("hello", (name: string) => { 
  3.   console.log(`hello ${name}`); 
  4. }); 
  5. // 这里的 code 指的是下面 web worker 线程的代码 
  6. shadowbox.eval(code); 
  7. shadowbox.emit("open"); 

web worker 线程代码

  1. const em = new WebWorkerEventEmitter(); 
  2. em.on("open", () => em.emit("hello""liuli")); 

下面是代码的执行流程示意图

限制 web worker 全局 api

经大佬 JackWoeker 提醒,web worker 有许多不安全的 api,所以必须限制,包含但不限于以下 api

  • fetch
  • indexedDB
  • performance

事实上,web worker 默认自带了 276 个全局 api,可能比我们想象中多很多。

Snipaste_2021-10-24_23-05-18

有篇 文章 阐述了如何在 web 上通过 performance/SharedArrayBuffer api 做侧信道攻击,即便现在 SharedArrayBuffer api 现在浏览器默认已经禁用了,但天知道还有没有其他方法。所以最安全的方法是设置一个 api 白名单,然后删除掉非白名单的 api。

  1. // whitelistWorkerGlobalScope.ts 
  2.  
  3. /** 
  4.  
  5. * 设定 web worker 运行时白名单,ban 掉所有不安全的 api 
  6.  
  7. */ 
  8.  
  9. export function whitelistWorkerGlobalScope(list: PropertyKey[]) { 
  10.  
  11. const whitelist = new Set(list); 
  12.  
  13. const all = Reflect.ownKeys(globalThis); 
  14.  
  15. all.forEach((k) => { 
  16.  
  17. if (whitelist.has(k)) { 
  18.  
  19. return
  20.  
  22.  
  23. if (k === "window") { 
  24.  
  25. console.log("window: ", k); 
  26.  
  28.  
  29. Reflect.deleteProperty(globalThis, k); 
  30.  
  31. }); 
  32.  
  34.  
  35. /** 
  36.  
  37. * 全局值的白名单 
  38.  
  39. */ 
  40.  
  41. const whitelist: ( 
  42.  
  43. | keyof typeof global 
  44.  
  45. | keyof WindowOrWorkerGlobalScope 
  46.  
  47. "console" 
  48.  
  49. )[] = [ 
  50.  
  51. "globalThis"
  52.  
  53. "console"
  54.  
  55. "setTimeout"
  56.  
  57. "clearTimeout"
  58.  
  59. "setInterval"
  60.  
  61. "clearInterval"
  62.  
  63. "postMessage"
  64.  
  65. "onmessage"
  66.  
  67. "Reflect"
  68.  
  69. "Array"
  70.  
  71. "Map"
  72.  
  73. "Set"
  74.  
  75. "Function"
  76.  
  77. "Object"
  78.  
  79. "Boolean"
  80.  
  81. "String"
  82.  
  83. "Number"
  84.  
  85. "Math"
  86.  
  87. "Date"
  88.  
  89. "JSON"
  90.  
  91. ]; 
  92.  
  93. whitelistWorkerGlobalScope(whitelist); 

然后在执行第三方代码前先执行上面的代码

  1. import beforeCode from "./whitelistWorkerGlobalScope.js?raw"
  2.  
  3. export class WebWorkerShadowbox implements IJavaScriptShadowbox { 
  4.  
  5. destroy(): void { 
  6.  
  7. this.worker.terminate(); 
  8.  
  10.  
  11. private worker!: Worker; 
  12.  
  13. eval(code: string): void { 
  14.  
  15. // 这行是关键 
  16.  
  17. const blob = new Blob([beforeCode + "\n" + code], { 
  18.  
  19. type: "application/javascript"
  20.  
  21. }); 
  22.  
  23. // 其他代码。。。 
  24.  
  26.  

由于我们使用 ts 编写源码,所以还必须将 ts 打包为 js bundle,然后通过 vite 的 ?raw 作为字符串引入,下面吾辈写了一个简单的插件来完成这件事。

  1. import { defineConfig, Plugin } from "vite"
  2.  
  3. import reactRefresh from "@vitejs/plugin-react-refresh"
  4.  
  5. import checker from "vite-plugin-checker"
  6.  
  7. import { build } from "esbuild"
  8.  
  9. import * as path from "path"
  10.  
  11. export function buildScript(scriptList: string[]): Plugin { 
  12.  
  13. const _scriptList = scriptList.map((src) => path.resolve(src)); 
  14.  
  15. async function buildScript(src: string) { 
  16.  
  17. await build({ 
  18.  
  19. entryPoints: [src], 
  20.  
  21. outfile: src.slice(0, src.length - 2) + "js"
  22.  
  23. format: "iife"
  24.  
  25. bundle: true
  26.  
  27. platform: "browser"
  28.  
  29. sourcemap: "inline"
  30.  
  31. allowOverwrite: true
  32.  
  33. }); 
  34.  
  35. console.log("构建完成: ", path.relative(path.resolve(), src)); 
  36.  
  38.  
  39. return { 
  40.  
  41. name: "vite-plugin-build-script"
  42.  
  43. async configureServer(server) { 
  44.  
  45. server.watcher.add(_scriptList); 
  46.  
  47. const scriptSet = new Set(_scriptList); 
  48.  
  49. server.watcher.on("change", (filePath) => { 
  50.  
  51. // console.log('change: ', filePath) 
  52.  
  53. if (scriptSet.has(filePath)) { 
  54.  
  55. buildScript(filePath); 
  56.  
  58.  
  59. }); 
  60.  
  61. }, 
  62.  
  63. async buildStart() { 
  64.  
  65. // console.log('buildStart: ', this.meta.watchMode) 
  66.  
  67. if (this.meta.watchMode) { 
  68.  
  69. _scriptList.forEach((src) => this.addWatchFile(src)); 
  70.  
  72.  
  73. await Promise.all(_scriptList.map(buildScript)); 
  74.  
  75. }, 
  76.  
  77. }; 
  78.  
  80.  
  81. // https://vitejs.dev/config/ 
  82.  
  83. export default defineConfig({ 
  84.  
  85. plugins: [ 
  86.  
  87. reactRefresh(), 
  88.  
  89. checker({ typescript: true }), 
  90.  
  91. buildScript([path.resolve("src/utils/app/whitelistWorkerGlobalScope.ts")]), 
  92.  
  93. ], 
  94.  
  95. }); 

现在,我们可以看到 web worker 中的全局 api 只有白名单中的那些了。

1635097498575

web worker 沙箱的主要优势

  • 可以直接使用 chrome devtool 调试
  • 直接支持 console/setTimeout/setInterval api
  • 直接支持消息通信的 api

 

责任编辑:张燕妮 来源: rxliuli blog
JavaScript开发 代码
相关推荐
你不知道的 JS 沙箱隔离
本文接下来的内容,将介绍我在探索基于WebWorker实现JavaScript沙箱隔离方案过程中的一些资料收集、理解以及我的踩坑和思考的过程。

2021-12-29 11:38:59

JS前端沙箱
浅析JavaScript沙箱内容
市面上现在流行两种沙箱模式,一种是使用iframe,还有一种是直接在页面上使用newFunction+eval进行执行.殊途同归,主要还是防止一些Hacker们吃饱了没事干,收别人钱来Hack你的网站.一般情况,我们的代码量有60%业务+40%安全.剩下的就看天意了.接下来,我们来一步一步分析,如果做到在前端的沙箱.文末看俺有没有心情放一个彩蛋吧.

2016-09-06 21:37:41

浅探 Web Worker 与 JavaScript 沙箱
本文接下来的内容,将介绍我在探索基于WebWorker实现JavaScript沙箱隔离方案过程中的一些资料收集、理解以及我的踩坑和思考的过程。虽然可能整篇文章内容都在「炒冷饭」,但还是希望我的探索方案的过程能对正在看这篇文章的你有所帮助。

2021-04-09 08:51:32

Web WorkerJavaScript微前端
WebWorker是什么鬼?
前端工程师们一定有过这样的体验,当一个页面加载了大量的js文件时,用户界面可能会短暂地&ldquo;冻结&rdquo;。这很好理解,因为js是单线程的语言。我们再走的极端点,一段js中出现了while(){}的死循环,这时再去点击页面的DOM元素,将不会触发事件,事实上,这些异步的事件都排成了队列,只等页面的js渲染完后去执行(从setTimeout谈JavaScript运行机制),而此时渲...

2015-11-12 10:03:34

前端H5web
如何利用基于云的沙箱来分析恶意软件?
为了加强端点安全和入侵防御系统,有些企业转向基于云的沙箱技术,他们现有安全提供商通常提供沙箱技术作为高级模块。在文件或链接传输到用户之前,基于云的沙箱会先在安全环境中检查潜在恶意文件或链接,并执行文件并查看其尝试执行的操作。

2017-07-17 06:46:06

Javascript面向对象编程(一) 封装
Javascript是一种基于对象(objectbased)的语言,你遇到的所有东西几乎都是对象。但是,它又不是一种真正的面向对象编程语言,因为它的语法中没有class。本文主要介绍Javascript中的封装,一起来看。

2011-05-25 10:21:44

Javascript
比 Eval 和 Iframe 更强的新一代 JavaScript 沙箱
今天我们来看一个进入statge3的新的JavaScript提案:ShadowRealmAPI。

2022-04-13 09:28:19

JavaScripiframe开发
JavaScript常用工具方法封装
因为工作中经常用到这些方法,所有便把这些方法进行了总结。

2019-02-13 14:58:43

cssjavascript前端
如何选择沙箱:四个原则看清沙箱差异
沙箱环境是很多网络安全解决方案用来对抗高级恶意软件的常用功能。防火墙、终端防护,甚至下一代机器学习系统都将沙箱作为其防线的一环。然而,不是所有的沙箱都有类似的功效。

2019-03-22 08:25:47

沙箱网络安全恶意软件
探讨JavaScript:优雅的封装还是执行效率?
优雅的封装还是执行效率?这是一个悖论。像C语言和C++之间的差别一样,JavaScript作为一种解释性语言,其效率本身就比编译语言低很多,所以这个问题显得尤为重要。

2010-09-15 09:03:44

JavaScript
全面认识Flex安全沙箱
你对Flex安全沙箱的概念是否了解,这里和大家分享一下,Flex安全沙箱包括:远程沙箱与本地沙箱。其实这个沙箱模型类似与浏览器中的同源策略。

2010-08-11 13:46:01

Flex安全沙箱
前端经常会用到的JavaScript方法封装
前端经常会用到的JavaScript方法封装都有哪些呢?我们一起来看一下吧!

2021-12-29 22:29:10

JavaScript前端数组
JavaScript 和 CSS 常用工具方法封装
因为工作中经常用到这些JavaScript和CSS常用工具方法,所有便把这些方法进行了总结。

2019-03-14 15:40:13

JavaScript CSS 工具
Javascript总结(常用工具类的封装
因为工作中经常用到这些方法,所有便把这些方法进行了总结,希望对大家有所帮助。

2018-01-30 18:49:16

前端JavascriptCSS
原来 WebWorker 还可以做这么酷的事情!
worker是“第二个脚本”。我们需要根据设置(TypeScript、捆绑器、开发服务器),调整tsconfig、添加指令或使用特定的导入语法。

2024-03-12 08:44:56

WebWorkerTypeScript语法
浅谈基于JavaScript的DDOS攻击
CloudFlare通过对上百万个网站进行防护,总结出最古老、最普遍的攻击非DDoS攻击莫属。在传统的DDoS攻击中,攻击者会控制大量的傀儡机,然后向目标服务器发送大量请求,阻止合法用户访问网站。

2015-05-06 10:02:26

浅谈JavaScript的面向对象和它的封装、继承、多态
既然是浅谈,就不会从原理上深度分析,只是帮助我们更好地理解...

2018-12-14 11:30:00

JavaScript编程前端
学习笔记 Flex安全沙箱概述
你对Flex安全沙箱的概念是否了解,这里和大家简单分享一下,Flex安全沙箱主要包括远程沙箱和本地沙箱两大部分内容。

2010-07-29 15:36:23

Flex安全沙箱
沙箱流量识别技术剖析
本文将深入浅出地讲解基于流量侧对沙箱请求流量进行识别的方法。

2022-07-21 07:39:00

沙箱识别技术
基于JavaScript的相关CSS技术概览
自从CSS出现以来,就有厂商希望CSS能够更加灵活一点,最早的CSS动态化体现为“动态表达式”(或动态属性,Dynamicattribute)的构想,本文将介绍基于JavaScript的CSS技术概览。

2009-07-14 11:23:06

CSS技术概览
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服