Node.js 沙箱環境

Randal發表於2018-05-14
Node.js

node官方文件裡提到node的vm模組可以用來做沙箱環境執行程式碼,對程式碼的上下文環境做隔離。

\A common use case is to run the code in a sandboxed environment. The sandboxed code uses a different V8 Context, meaning that it has a different global object than the rest of the code.

先看一個例子

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; a + b;', {a});
console.log(result);    // 5
console.log(a);         // 1
console.log(typeof b);  // undefined
複製程式碼

沙箱環境中執行的程式碼對於外部程式碼沒有產生任何影響,無論是新宣告的變數b,還是重新賦值的變數a。 注意最後一行的程式碼預設會被加上return關鍵字,因此無需手動新增,一旦新增的話不會靜默忽略,而是執行報錯。

const vm = require('vm');
let a = 1;
var result = vm.runInNewContext('var b = 2; a = 3; return a + b;', {a});
console.log(result);
console.log(a);
console.log(typeof b); 
複製程式碼

如下所示

evalmachine.<anonymous>:1
var b = 2; a = 3; return a + b;
                  ^^^^^^

SyntaxError: Illegal return statement
    at new Script (vm.js:74:7)
    at createScript (vm.js:246:10)
    at Object.runInNewContext (vm.js:291:10)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:17)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
複製程式碼

除了runInNewContext外,vm還提供了runInThisContext和runInContext兩個方法都可以用來執行程式碼 runInThisContext無法指定context

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar += "vm";');
console.log('vmResult:', vmResult);
console.log('localVar:', localVar);
console.log(global.localVar);
複製程式碼

由於無法訪問本地的作用域,只能訪問到當前的global物件,因此上面的程式碼會因為找不到localVal而報錯

evalmachine.<anonymous>:1
localVar += "vm";
^

ReferenceError: localVar is not defined
    at evalmachine.<anonymous>:1:1
    at Script.runInThisContext (vm.js:91:20)
    at Object.runInThisContext (vm.js:298:38)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
複製程式碼

如果我們把要執行的程式碼改成直接賦值的話就可以正常執行了,但是也產生了全域性汙染(全域性的localVar變數)

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('localVar = "vm";');
console.log('vmResult:', vmResult);   // vm
console.log('localVar:', localVar);   // initial value
console.log(global.localVar);         // vm
複製程式碼

runInContext在傳入context引數上與runInNewContext有所區別 runInContext傳入的context物件不為空而且必須是經vm.createContext()處理過的,否則會報錯。 runInNewContext的context引數是非必須的,而且無需經過vm.createContext處理。 runInNewContext和runInContext因為有指定context,所以不會向runInThisContext那樣產生全域性汙染(不會產生全域性的localVar變數)

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInNewContext('localVar = "vm";');
console.log('vmResult:', vmResult);   // vm
console.log('localVar:', localVar);   // initial value
console.log(global.localVar);         // undefined
複製程式碼

當需要一個沙箱環境執行多個指令碼片段的時候,可以通過多次呼叫runInContext方法但是傳入同一個vm.createContext()返回值實現。

超時控制及錯誤捕獲

vm針對要執行的程式碼提供了超時機制,通過指定timeout引數即可以runInThisContext為例

const vm = require('vm');
let localVar = 'initial value';​
const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {  timeout: 1000});
複製程式碼
vm.js:91
      return super.runInThisContext(...args);
                   ^

Error: Script execution timed out.
    at Script.runInThisContext (vm.js:91:20)
    at Object.runInThisContext (vm.js:298:38)
    at Object.<anonymous> (/Users/xiji/workspace/learn/script.js:3:21)
    at Module._compile (internal/modules/cjs/loader.js:678:30)
    at Object.Module._extensions..js (internal/modules/cjs/loader.js:689:10)
    at Module.load (internal/modules/cjs/loader.js:589:32)
    at tryModuleLoad (internal/modules/cjs/loader.js:528:12)
    at Function.Module._load (internal/modules/cjs/loader.js:520:3)
    at Function.Module.runMain (internal/modules/cjs/loader.js:719:10)
    at startup (internal/bootstrap/node.js:228:19)
複製程式碼

可以通過try catch來捕獲程式碼錯誤

const vm = require('vm');
let localVar = 'initial value';​
try {  
    const vmResult = vm.runInThisContext('while(true) { 1 }; localVar = "vm";', {
        timeout: 1000
    });
} catch(e) {  
    console.error('executed code timeout');
}
複製程式碼

延遲執行

vm除了即時執行程式碼之外,也可以先編譯然後過一段時間再執行,這就需要提到vm.Script了。其實無論是runInNewContext、runInThisContext還是runInThisContext,背後其實都建立了Script,從之前的報錯資訊就可以看出來 接下來我們就用vm.Script來重寫本文開頭的例子

const vm = require('vm');
let a = 1;
var script = new vm.Script('var b = 2; a = 3; a + b;');
setTimeout(() => {  
    let result  = script.runInNewContext({a});  
    console.log(result);     // 5  
    console.log(a);          // 1  
    console.log(typeof b);   // undefined
}, 300);
複製程式碼

除了vm.Script,node在9.6版本中新增了vm.Module也可以做到延遲執行,vm.Module主要用來支援ES6 module,而且它的context在建立的時候就已經繫結好了,關於vm.Module目前還需要在命令列使用flag來啟用支援

node --experimental-vm-module index.js
複製程式碼

vm作為沙箱環境安全嗎?

vm相對於eval來說更安全一些,因為它隔離了當前的上下文環境了,但是儘管如此依然可以訪問標準的JS API和全域性的NodeJS環境,因此vm並不安全,這個在官方文件裡就提到了

The vm module is not a security mechanism. Do not use it to run untrusted code

請看下面的例子

const vm = require('vm');
vm.runInNewContext("this.constructor.constructor('return process')().exit()")
console.log("The app goes on...") // 永遠不會輸出
複製程式碼

為了避免上面這種情況,可以將上下文簡化成只包含基本型別,如下所示

let ctx = Object.create(null);
ctx.a = 1; // ctx上不能包含引用型別的屬性
vm.runInNewContext("this.constructor.constructor('return process')().exit()", ctx);
複製程式碼

針對原生vm存在的這個問題,有人開發了vm2包,可以避免上述問題,但是也不能說vm2就一定是安全的

const {VM} = require('vm2');
new VM().run('this.constructor.constructor("return process")().exit()');
複製程式碼

雖然執行上述程式碼沒有問題,但是由於vm2的timeout對於非同步程式碼不起作用,所以下面的程式碼永遠不會執行結束。

const { VM } = require('vm2');
const vm = new VM({ timeout: 1000, sandbox: {}});
vm.run('new Promise(()=>{})');
複製程式碼

即使希望通過重新定義Promise的方式來禁用Promise的話,還是一個可以繞過的

const { VM } = require('vm2');
const vm = new VM({ 
  timeout: 1000, sandbox: { Promise: function(){}}
});
vm.run('Promise = (async function(){})().constructor;new Promise(()=>{});');
複製程式碼

總結

vm提供了一種隔離的方式來執行不可信程式碼,但是並不是非常徹底,針對不可信程式碼最好的執行方式還是“物理隔離”,比如docker容器。

參考資料

https://nodejs.org/dist/latest-v10.x/docs/api/vm.html

https://60devs.com/executing-js-code-with-nodes-vm-module.html

https://odino.org/eval-no-more-understanding-vm-vm2-nodejs/

https://segmentfault.com/a/1190000014533283

相關文章