ব্রাউজারে স্যান্ডবক্স জাভাস্ক্রিপ্ট চলছে কি সম্ভব?

আমি ভাবছি যে কোনও HTML পৃষ্ঠায় চলমান জাভাস্ক্রিপ্ট কোডে সাধারণত উপলব্ধ এমন বৈশিষ্ট্যগুলিতে অ্যাক্সেস আটকাতে ব্রাউজারে জাভাস্ক্রিপ্ট চলমান স্যান্ডবক্স করা সম্ভব কিনা।

উদাহরণস্বরূপ, আসুন আমি বলি যে আমি "জাভীয় ঘটনাগুলি" ঘটলে ইভেন্ট হ্যান্ডলারগুলি চালিত হওয়ার জন্য তাদের শেষ সংখ্যার ব্যবহারকারীদের জাভাস্ক্রিপ্ট এপিআই সরবরাহ করতে চাই, তবে আমি চাই না যে সেই ব্যবহারকারীরা সেই windowবস্তুর বৈশিষ্ট্য এবং ফাংশনগুলিতে অ্যাক্সেস পান । আমি কি এটি করতে সক্ষম?

সবচেয়ে সহজ ক্ষেত্রে, আসুন আমি বলি যে আমি ব্যবহারকারীদের কলিং প্রতিরোধ করতে চাই alert। আমি ভাবতে পারি এমন কয়েকটি পদ্ধতির নাম:

• window.alertবিশ্বব্যাপী পুনরায় সংজ্ঞা দিন । আমার মনে হয় না এটি একটি বৈধ পন্থা হবে কারণ পৃষ্ঠায় চলমান অন্যান্য কোডগুলি (যেমন তাদের ইভেন্ট হ্যান্ডলারের ব্যবহারকারীদের দ্বারা রচিত স্টাফ) ব্যবহার করতে চাইতে পারে alert।
• প্রক্রিয়াটির হ্যান্ডলার কোডটি সার্ভারে প্রেরণ করুন। আমি নিশ্চিত নই যে প্রসেসের জন্য সার্ভারে কোডটি প্রেরণ করা সঠিক পদ্ধতির কারণ ইভেন্ট হ্যান্ডলারদের পৃষ্ঠার প্রসঙ্গে চালানো দরকার।

সম্ভবত একটি সমাধান যেখানে সার্ভারটি ব্যবহারকারী সংজ্ঞায়িত ফাংশনটি প্রসেস করে এবং তারপরে ক্লায়েন্টের উপর মৃত্যুদন্ড কার্যকর করার জন্য একটি কলব্যাক উত্পন্ন করে? এমনকি যদি এই পদ্ধতির কাজ করে তবে এই সমস্যা সমাধানের আরও ভাল উপায় আছে?

গুগল কজা হ'ল উত্স-উত্স অনুবাদক যা "আপনাকে আপনার পৃষ্ঠায় অবিশ্বস্ত তৃতীয় পক্ষের এইচটিএমএল এবং জাভাস্ক্রিপ্ট ইনলাইন রাখার অনুমতি দেয় এবং এখনও সুরক্ষিত হতে পারে।"

কটাক্ষপাত আছে ডগলাস Crockford এর ADsafe :

অ্যাডাসাফ কোনও ওয়েব পৃষ্ঠায় অতিথি কোড (যেমন তৃতীয় পক্ষের স্ক্রিপ্টেড বিজ্ঞাপন বা উইজেট) স্থাপন করা নিরাপদ করে। অ্যাডাসাফ জাভাস্ক্রিপ্টের একটি সাবসেট সংজ্ঞায়িত করেছে যা অতিথির কোডটিকে মূল্যবান ইন্টারঅ্যাকশন করতে অনুমতি দেওয়ার পক্ষে যথেষ্ট শক্তিশালী, একই সময়ে দূষিত বা দুর্ঘটনাজনিত ক্ষতি বা অনুপ্রবেশ রোধ করে। এডাসেফের সাবসেটটি জেএসলিন্টের মতো সরঞ্জামগুলির মাধ্যমে যান্ত্রিকভাবে যাচাই করা যেতে পারে যাতে সুরক্ষার জন্য কোনও অতিথি কোডের পর্যালোচনা করা প্রয়োজন না। অ্যাডাসেফ সাবসেটটি ভাল কোডিং অনুশীলনগুলি প্রয়োগ করে, অতিথি কোডটি সঠিকভাবে চলার সম্ভাবনা বাড়িয়ে তোলে।

আপনি প্রকল্পের গিটহাবের সংগ্রহস্থলের ফাইল template.htmlএবং template.jsফাইলগুলি দেখে অ্যাডাসেফকে কীভাবে ব্যবহার করবেন তার একটি উদাহরণ দেখতে পাবেন ।

আমি jsandbox নামে একটি স্যান্ডবক্সিং লাইব্রেরি তৈরি করেছি যা মূল্যবান কোড স্যান্ডবক্সে ওয়েব কর্মীদের ব্যবহার করে। স্পষ্টভাবে স্যান্ডবক্সযুক্ত কোড ডেটা দেওয়ার জন্য এটির একটি ইনপুট পদ্ধতি রয়েছে এটি অন্যথায় পেতে সক্ষম হবে না।

নীচে এপিআই এর একটি উদাহরণ:

jsandbox
    .eval({
      code    : "x=1;Math.round(Math.pow(input, ++x))",
      input   : 36.565010597564445,
      callback: function(n) {
          console.log("number: ", n); // number: 1337
      }
  }).eval({
      code   : "][];.]\\ (*# ($(! ~",
      onerror: function(ex) {
          console.log("syntax error: ", ex); // syntax error: [error object]
      }
  }).eval({
      code    : '"foo"+input',
      input   : "bar",
      callback: function(str) {
          console.log("string: ", str); // string: foobar
      }
  }).eval({
      code    : "({q:1, w:2})",
      callback: function(obj) {
          console.log("object: ", obj); // object: object q=1 w=2
      }
  }).eval({
      code    : "[1, 2, 3].concat(input)",
      input   : [4, 5, 6],
      callback: function(arr) {
          console.log("array: ", arr); // array: [1, 2, 3, 4, 5, 6]
      }
  }).eval({
      code    : "function x(z){this.y=z;};new x(input)",
      input   : 4,
      callback: function(x) {
          console.log("new x: ", x); // new x: object y=4
      }
  });

আমি মনে করি যে js.js এখানে উল্লেখযোগ্য। এটি জাভাস্ক্রিপ্টে লিখিত একটি জাভাস্ক্রিপ্ট ইন্টারপ্রেটার।

এটি নেটিভ জেএসের চেয়ে প্রায় 200 গুণ ধীর, তবে এর প্রকৃতি এটিকে একটি নিখুঁত স্যান্ডবক্স পরিবেশে পরিণত করে। আর একটি অপূর্ণতা এর আকার - প্রায় 600 কেবি, যা কিছু ক্ষেত্রে ডেস্কটপগুলির জন্য গ্রহণযোগ্য হতে পারে, তবে মোবাইল ডিভাইসের জন্য নয়।

অন্যান্য প্রতিক্রিয়াগুলিতে উল্লিখিত হিসাবে, স্যান্ডবক্সযুক্ত আইফ্রেমে কোডটি জেল করে দেওয়া (সার্ভার-সাইডে না পাঠিয়ে) এবং বার্তাগুলির সাথে যোগাযোগ করার জন্য এটি যথেষ্ট। আমি বেশিরভাগই অবিশ্বস্ত কোডকে কিছু এপিআই সরবরাহ করার প্রয়োজনীয়তার কারণে, যেমনটি প্রশ্নের মধ্যে বর্ণিত হয়েছে তেমন একটি ছোট লাইব্রেরিটি একবার দেখে নেওয়ার পরামর্শ দেব : যেখানে নির্দিষ্ট ফাংশনগুলির সেটটি স্যান্ডবক্সে রফতানি করার সুযোগ রয়েছে যেখানে অবিশ্বস্ত কোড চালায়। এবং এখানে একটি ডেমো রয়েছে যা কোনও স্যান্ডবক্সে ব্যবহারকারী দ্বারা জমা দেওয়া কোডটি কার্যকর করে:

http://asvd.github.io/jailed/demos/web/console/

সমস্ত ব্রাউজার বিক্রেতারা এবং এইচটিএমএল 5 স্পেসিফিকেশন স্যান্ডবক্সযুক্ত আইফ্রেমে অনুমতি দেওয়ার জন্য একটি আসল স্যান্ডবক্স সম্পত্তিটির দিকে কাজ করছে - তবে এটি এখনও আইফ্রেমে গ্র্যানুলারিটিতে সীমাবদ্ধ।

সাধারণভাবে, কোনও ডিগ্রি নিয়মিত প্রকাশ ইত্যাদি নিরাপদভাবে স্বেচ্ছাকৃত ব্যবহারকারীর দ্বারা সরবরাহ করা জাভাস্ক্রিপ্টের কারণে এটি থামানো সমস্যার অবনতি ঘটতে পারে: - /

@ রায়ানওহারার ওয়েব ওয়ার্কার্স স্যান্ডবক্স কোডের একটি উন্নত সংস্করণ, একটি একক ফাইলে (কোনও অতিরিক্ত eval.jsফাইলের প্রয়োজন নেই)।

function safeEval(untrustedCode)
    {
    return new Promise(function (resolve, reject)
    {

    var blobURL = URL.createObjectURL(new Blob([
        "(",
        function ()
            {
            var _postMessage = postMessage;
            var _addEventListener = addEventListener;

            (function (obj)
                {
                "use strict";

                var current = obj;
                var keepProperties = [
                    // required
                    'Object', 'Function', 'Infinity', 'NaN', 'undefined', 'caches', 'TEMPORARY', 'PERSISTENT', 
                    // optional, but trivial to get back
                    'Array', 'Boolean', 'Number', 'String', 'Symbol',
                    // optional
                    'Map', 'Math', 'Set',
                ];

                do {
                    Object.getOwnPropertyNames(current).forEach(function (name) {
                        if (keepProperties.indexOf(name) === -1) {
                            delete current[name];
                        }
                    });

                    current = Object.getPrototypeOf(current);
                }
                while (current !== Object.prototype);
                })(this);

            _addEventListener("message", function (e)
            {
            var f = new Function("", "return (" + e.data + "\n);");
            _postMessage(f());
            });
            }.toString(),
        ")()"], {type: "application/javascript"}));

    var worker = new Worker(blobURL);

    URL.revokeObjectURL(blobURL);

    worker.onmessage = function (evt)
        {
        worker.terminate();
        resolve(evt.data);
        };

    worker.onerror = function (evt)
        {
        reject(new Error(evt.message));
        };

    worker.postMessage(untrustedCode);

    setTimeout(function () {
        worker.terminate();
        reject(new Error('The worker timed out.'));
        }, 1000);
    });
    }

এটা পরীক্ষা করো:

https://jsfiddle.net/kp0cq6yw/

var promise = safeEval("1+2+3");

promise.then(function (result) {
      alert(result);
      });

এটি আউটপুট করা উচিত 6(ক্রোম এবং ফায়ারফক্সে পরীক্ষিত)।

একটি কুরুচিপূর্ণ উপায় কিন্তু সম্ভবত এটি আপনার জন্য কাজ করে, আমি সমস্ত গ্লোবাল নিয়েছি এবং তাদের স্যান্ডবক্স স্কোপে নতুন সংজ্ঞা দিয়েছি, পাশাপাশি আমি কঠোর মোডটি যুক্ত করেছি যাতে তারা কোনও বেনামি ফাংশন ব্যবহার করে গ্লোবাল অবজেক্টটি না পেতে পারে।

function construct(constructor, args) {
  function F() {
      return constructor.apply(this, args);
  }
  F.prototype = constructor.prototype;
  return new F();
}
// Sanboxer 
function sandboxcode(string, inject) {
  "use strict";
  var globals = [];
  for (var i in window) {
    // <--REMOVE THIS CONDITION
    if (i != "console")
    // REMOVE THIS CONDITION -->
    globals.push(i);
  }
  globals.push('"use strict";\n'+string);
  return construct(Function, globals).apply(inject ? inject : {});
}
sandboxcode('console.log( this, window, top , self, parent, this["jQuery"], (function(){return this;}()));'); 
// => Object {} undefined undefined undefined undefined undefined undefined 
console.log("return of this", sandboxcode('return this;', {window:"sanboxed code"})); 
// => Object {window: "sanboxed code"}

https://gist.github.com/alejandrolechuga/9381781

বিল্টিন ব্রাউজার বাস্তবায়নের ক্যাজড সংস্করণটির চেয়ে একটি স্বাধীন জাভাস্ক্রিপ্ট দোভাষীর শক্তিশালী স্যান্ডবক্স পাওয়া সম্ভব। রায়ান ইতিমধ্যে js.js উল্লেখ করেছে , তবে আরও একটি আপ-টু-ডেট প্রকল্প জেএস-ইন্টারপ্রেটার । ডক্স অনুবাদক করার জন্য বিভিন্ন ফাংশন এক্সপোজ কিভাবে ঢেকে, কিন্তু তার সুযোগ অন্যথায় খুবই সীমিত।

2019 সালের হিসাবে, ভিএম 2 দেখতে এই সমস্যার সর্বাধিক জনপ্রিয় এবং নিয়মিত আপডেট হওয়া সমাধানগুলির মত দেখাচ্ছে।

সঙ্গে NISP আপনি স্যান্ডবক্সভুক্ত মূল্যায়ন করতে সক্ষম হবেন। যদিও আপনি যে এক্সপ্রেশনটি লিখছেন তা হ'ল জেএস নয়, পরিবর্তে আপনি এস-এক্সপ্রেশন লিখবেন। সাধারণ ডিএসএলগুলির জন্য আদর্শ যা ব্যাপক প্রোগ্রামিংয়ের দাবি করে না।

1) ধরুন আপনার কার্যকর করার জন্য একটি কোড রয়েছে:

var sCode = "alert(document)";

এখন, ধরুন আপনি একটি স্যান্ডবক্সে এটি সম্পাদন করতে চান:

new Function("window", "with(window){" + sCode + "}")({});

মৃত্যুদন্ড কার্যকর করা হলে এই দুটি লাইন ব্যর্থ হবে, কারণ "সতর্কতা" ফাংশন "স্যান্ডবক্স" থেকে পাওয়া যায় না

2) এবং এখন আপনি উইন্ডো অবজেক্টের কোনও সদস্যকে আপনার কার্যকারিতা সহ প্রকাশ করতে চান:

new Function("window", "with(window){" + sCode + "}")({
    'alert':function(sString){document.title = sString}
});

প্রকৃতপক্ষে আপনি পালিয়ে থাকা উদ্ধৃতি যোগ করতে এবং অন্যান্য পোলিশ করতে পারেন, তবে আমার ধারণা ধারণাটি পরিষ্কার।

এই ব্যবহারকারী জাভাস্ক্রিপ্ট কোথা থেকে আসছে?

আপনার পৃষ্ঠায় কোনও ব্যবহারকারী এম্বেডিং কোড এবং তার ব্রাউজার থেকে এটিকে কল করার বিষয়ে আপনারা তেমন কিছু করতে পারবেন না (দেখুন গ্রিসমোনকি, http://www.greasespot.net/ )। এটি ব্রাউজারগুলি কেবল কিছু করে।

তবে, আপনি যদি স্ক্রিপ্টটি একটি ডাটাবেসে সঞ্চয় করেন, তবে এটি পুনরুদ্ধার করুন এবং এটি ()) লিখে ফেলুন, তবে স্ক্রিপ্টটি চালানোর আগে আপনি এটি পরিষ্কার করতে পারেন।

কোডের উদাহরণ যা সমস্ত উইন্ডো সরিয়ে দেয়। এবং নথি। রেফারেন্স:

 eval(
  unsafeUserScript
    .replace(/\/\/.+\n|\/\*.*\*\/, '') // Clear all comments
    .replace(/\s(window|document)\s*[\;\)\.]/, '') // removes window. or window; or window)
 )

এটি নিম্নলিখিতগুলি কার্যকর করা (পরীক্ষা করা হয়নি) রোধ করার চেষ্টা করে:

window.location = 'http://mydomain.com';
var w = window  ;

অনিরাপদ ব্যবহারকারী স্ক্রিপ্টে আপনাকে প্রয়োগ করতে হবে এমন অনেকগুলি সীমাবদ্ধতা রয়েছে। দুর্ভাগ্যক্রমে, জাভাস্ক্রিপ্টের জন্য কোনও 'স্যান্ডবক্স ধারক' উপলব্ধ নেই।

আমি ব্যবহারকারীদের আমার সাইটের জন্য অ্যাপলেট তৈরি করার জন্য একটি সরল জেএস স্যান্ডবক্সে কাজ করছি। যদিও আমি এখনও ডিওএম অ্যাক্সেসের অনুমোদনের সাথে কিছু চ্যালেঞ্জের মুখোমুখি হই (প্যারেন্টনোড কেবল জিনিসগুলিকে সুরক্ষিত রাখে না = /), তবে আমার দৃষ্টিভঙ্গি উইন্ডো অবজেক্টটিকে তার কিছু দরকারী / ক্ষতিকারক সদস্যের সাথে নতুনভাবে সংজ্ঞায়িত করার জন্য এবং তারপরে ব্যবহারকারীকে () প্রকাশ করা উচিত ডিফল্ট সুযোগ হিসাবে এই পুনরায় সংজ্ঞায়িত উইন্ডো সহ কোড।

আমার "মূল" কোডটি এইভাবে চলে ... (আমি এটি পুরোপুরি দেখছি না;)

function Sandbox(parent){

    this.scope = {
        window: {
            alert: function(str){
                alert("Overriden Alert: " + str);
            },
            prompt: function(message, defaultValue){
                return prompt("Overriden Prompt:" + message, defaultValue);
            },
            document: null,
            .
            .
            .
            .
        }
    };

    this.execute = function(codestring){

        // here some code sanitizing, please

        with (this.scope) {
            with (window) {
                eval(codestring);
            }
        }
    };
}

সুতরাং, আমি একটি স্যান্ডবক্স উদাহরণস্বরূপ করতে পারি এবং কোড চলমান পেতে এটির এক্সিকিউট () ব্যবহার করতে পারি। এছাড়াও, eval'd কোডের মধ্যে থাকা সমস্ত নতুন ঘোষিত ভেরিয়েবলগুলি শেষ পর্যন্ত মৃত্যুদন্ড () স্কোপকে আবদ্ধ হবে, সুতরাং সংঘর্ষের নাম বা বিদ্যমান কোডের সাথে বিশৃঙ্খলা থাকবে না।

যদিও বিশ্বব্যাপী অবজেক্টগুলি এখনও অ্যাক্সেসযোগ্য হবে, তাদের স্যান্ডবক্সযুক্ত কোডের অজানা থাকা উচিত স্যান্ডবক্স :: স্কোপ অবজেক্টে প্রক্সি হিসাবে সংজ্ঞায়িত করা উচিত।

আশা করি এটি আপনার পক্ষে কাজ করে।

আপনি নিষিদ্ধ বস্তুগুলিকে পরামিতি হিসাবে পুনরায় সংজ্ঞায়িত করে এমন কোনও ফাংশনে ব্যবহারকারীর কোডটি মোড়তে পারেন - এগুলি undefinedতখন বলা হবে:

(function (alert) {

alert ("uh oh!"); // User code

}) ();

অবশ্যই, চালাক আক্রমণকারীরা জাভাস্ক্রিপ্ট ডিওএম পরিদর্শন করে এবং উইন্ডোতে একটি রেফারেন্স সম্বলিত একটি অ-ওভাররাইড হওয়া বস্তু সন্ধানের মাধ্যমে এটি ঘিরে ফেলতে পারে।

আর একটি ধারণা jslint এর মতো একটি সরঞ্জাম ব্যবহার করে ব্যবহারকারীর কোডটি স্ক্যান করছে । নিশ্চিত করুন এটির কোনও প্রিসেট ভেরিয়েবল (বা: কেবলমাত্র আপনি চান ভেরিয়েবলগুলি) সেট করার সেট রয়েছে এবং তারপরে যদি কোনও গ্লোবাল সেট বা অ্যাক্সেস করা থাকে তবে ব্যবহারকারীর স্ক্রিপ্টটি ব্যবহার করতে দেওয়া হবে না। আবার, ডিওএম হাঁটার পক্ষে অরক্ষিত হতে পারে - ব্যবহারকারীরা আক্ষরিক ব্যবহার করে নির্মান করতে পারে এমন বস্তুগুলির মধ্যে উইন্ডো অবজেক্টের অন্তর্নিহিত উল্লেখ থাকতে পারে যা স্যান্ডবক্স থেকে বাঁচতে অ্যাক্সেস করতে পারে।