虛擬機器、容器與沙盒技術有什麼區別？

首先，什麼是沙箱？

它本身就是一種線下生活現象的虛擬化。現實世界裡，小孩子們在沙地、沙灘上用木板隔離出一個方盒子，在盒子裡堆砌、創造各種東西 - 城堡、房屋、山丘... 這就是一個沙箱。

它有兩個根本特點：

1、它有邊界，透過木板設定了遊戲創造的範圍只在圍牆內；

2、它的遊戲材料是沙，任何的創造，一抹就平，瞬間無影無蹤不留痕跡。

這兩個特點，在計算機世界被模擬了。在一臺裝置（不管是一臺伺服器還是一個手機，我們稱之為“宿主”）中，透過軟硬體手段的結合，可以模擬出一個“管控”區域，它的裡面是預先指定、劃分出來的運算與儲存資源，與宿主的其他資源完全隔離。應用程式碼可以被丟到這個區域裡執行，即使它是病毒、木馬、DDoS攻擊軟體，它也只能在這麼一個資源受限的模擬世界折騰，它就像在Matrix裡的人，看不到宿主裡其他的平行世界，甚至不知道宿主的存在，無法濫用宿主資源從而毀滅宿主（和其他平行世界）。此外，任何這樣的區域，既然是模擬的，不管裡面跑著什麼，都可以被“一鍵刪除”，一切歸零。

虛擬機器、容器和沙箱的關係

虛擬機器和容器技術都可以看作是沙箱的不同表現。

虛擬機器和容器。前者是對硬體的虛擬化，後者則更像是作業系統的虛擬化。兩者都提供了沙箱的能力：虛擬機器透過硬體級抽象提供，而容器則使用公共核心提供程式級的隔離。

不過嚴格來講，虛擬機器是可以視為安全沙箱的，但是容器技術還差點意思，理由如下：

• 虛擬機器模擬出一整臺伺服器或者桌面電腦，你可以在裡面跑企業服務、也可以在裡面打遊戲，並不能影響宿主的安全穩定執行，你也可以把這個虛擬機器一鍵刪除，不管裡面安裝了什麼東西。
• 容器類技術，諸如docker、LXC等，有沙箱隔離的特點，但因為共享宿主作業系統的核心，並不提供徹底全模擬的環境，所以往往並不被視為安全沙箱。

推薦一個近期深度瞭解的前端安全沙箱技術—— FinClip，這是一種嵌入式安全沙箱，又被稱之為小程式容器，它的本質其實是建立在Security Capability model基礎上的瀏覽器核心的擴充套件，其沙箱的特點，體現在三個方面：

1. 沙箱內小程式之間的隔離
2. 沙箱對執行其中的小程式程式碼，隔離其對宿主環境的資源訪問。
3. 沙箱隔離了宿主對於沙箱中執行的小程式所產生的資料。

這種安全沙箱中執行的主要是輕應用、小程式，在應用正規化上相容網際網路主流的小程式規範，應用落地的門檻很低，能迅速投入應用。對於對接大量外部應用的企業來說，這個設計是非常巧妙的。換句話說，不管小程式的“供應商”是誰，它們的程式碼都被隔離、同時也被保護在沙箱環境中。