自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

基于 WebWorker 封裝 JavaScript 沙箱

作者:佚名
開發(fā) 前端
如果你不知道 web worker 是什么或者從未了解過,可以查看 Web Workers API 。簡而言之,它是一個瀏覽器實現(xiàn)的多線程,可以運行一段代碼在另一個線程,并且提供與之通信的功能。

  [[430837]]

在前文 基于quickjs 封裝 JavaScript 沙箱 已經(jīng)基于 quickjs 實現(xiàn)了一個沙箱,這里再基于 web worker 實現(xiàn)備用方案。如果你不知道 web worker 是什么或者從未了解過,可以查看 Web Workers API 。簡而言之,它是一個瀏覽器實現(xiàn)的多線程,可以運行一段代碼在另一個線程,并且提供與之通信的功能。

實現(xiàn) IJavaScriptShadowbox

事實上,web worker 提供了 event emitter 的 api,即 postMessage/onmessage ,所以實現(xiàn)非常簡單。

實現(xiàn)分為兩部分,一部分是在主線程實現(xiàn) IJavaScriptShadowbox ,另一部分則是需要在 web worker 線程實現(xiàn) IEventEmitter

主線程的實現(xiàn)

  1. import { IJavaScriptShadowbox } from "./IJavaScriptShadowbox"
  2.  
  3. export class WebWorkerShadowbox implements IJavaScriptShadowbox { 
  4.   destroy(): void { 
  5.     this.worker.terminate(); 
  6.   } 
  7.  
  8.   private worker!: Worker; 
  9.   eval(code: string): void { 
  10.     const blob = new Blob([code], { type: "application/javascript" }); 
  11.     this.worker = new Worker(URL.createObjectURL(blob), { 
  12.       credentials: "include"
  13.     }); 
  14.     this.worker.addEventListener("message", (ev) => { 
  15.       const msg = ev.data as { channel: string; data: any }; 
  16.       // console.log('msg.data: ', msg) 
  17.       if (!this.listenerMap.has(msg.channel)) { 
  18.         return
  19.       } 
  20.       this.listenerMap.get(msg.channel)!.forEach((handle) => { 
  21.         handle(msg.data); 
  22.       }); 
  23.     }); 
  24.   } 
  25.  
  26.   private readonly listenerMap = new Map<string, ((data: any) => void)[]>(); 
  27.   emit(channel: string, data: any): void { 
  28.     this.worker.postMessage({ 
  29.       channel: channel, 
  30.       data, 
  31.     }); 
  32.   } 
  33.   on(channel: string, handle: (data: any) => void): void { 
  34.     if (!this.listenerMap.has(channel)) { 
  35.       this.listenerMap.set(channel, []); 
  36.     } 
  37.     this.listenerMap.get(channel)!.push(handle); 
  38.   } 
  39.   offByChannel(channel: string): void { 
  40.     this.listenerMap.delete(channel); 
  41.   } 

web worker 線程的實現(xiàn)

  1. import { IEventEmitter } from "./IEventEmitter"
  2.  
  3. export class WebWorkerEventEmitter implements IEventEmitter { 
  4.   private readonly listenerMap = new Map<string, ((data: any) => void)[]>(); 
  5.  
  6.   emit(channel: string, data: any): void { 
  7.     postMessage({ 
  8.       channel: channel, 
  9.       data, 
  10.     }); 
  11.   } 
  12.  
  13.   on(channel: string, handle: (data: any) => void): void { 
  14.     if (!this.listenerMap.has(channel)) { 
  15.       this.listenerMap.set(channel, []); 
  16.     } 
  17.     this.listenerMap.get(channel)!.push(handle); 
  18.   } 
  19.  
  20.   offByChannel(channel: string): void { 
  21.     this.listenerMap.delete(channel); 
  22.   } 
  23.  
  24.   init() { 
  25.     onmessage = (ev) => { 
  26.       const msg = ev.data as { channel: string; data: any }; 
  27.       if (!this.listenerMap.has(msg.channel)) { 
  28.         return
  29.       } 
  30.       this.listenerMap.get(msg.channel)!.forEach((handle) => { 
  31.         handle(msg.data); 
  32.       }); 
  33.     }; 
  34.   } 
  35.  
  36.   destroy() { 
  37.     this.listenerMap.clear(); 
  38.     onmessage = null
  39.   } 

使用

主線程代碼

  1. const shadowbox: IJavaScriptShadowbox = new WebWorkerShadowbox(); 
  2. shadowbox.on("hello", (name: string) => { 
  3.   console.log(`hello ${name}`); 
  4. }); 
  5. // 這里的 code 指的是下面 web worker 線程的代碼 
  6. shadowbox.eval(code); 
  7. shadowbox.emit("open"); 

web worker 線程代碼

  1. const em = new WebWorkerEventEmitter(); 
  2. em.on("open", () => em.emit("hello""liuli")); 

下面是代碼的執(zhí)行流程示意圖

限制 web worker 全局 api

經(jīng)大佬 JackWoeker 提醒,web worker 有許多不安全的 api,所以必須限制,包含但不限于以下 api

  • fetch
  • indexedDB
  • performance

事實上,web worker 默認(rèn)自帶了 276 個全局 api,可能比我們想象中多很多。

Snipaste_2021-10-24_23-05-18

有篇 文章 闡述了如何在 web 上通過 performance/SharedArrayBuffer api 做側(cè)信道攻擊,即便現(xiàn)在 SharedArrayBuffer api 現(xiàn)在瀏覽器默認(rèn)已經(jīng)禁用了,但天知道還有沒有其他方法。所以最安全的方法是設(shè)置一個 api 白名單,然后刪除掉非白名單的 api。

  1. // whitelistWorkerGlobalScope.ts 
  2.  
  3. /** 
  4.  
  5. * 設(shè)定 web worker 運行時白名單,ban 掉所有不安全的 api 
  6.  
  7. */ 
  8.  
  9. export function whitelistWorkerGlobalScope(list: PropertyKey[]) { 
  10.  
  11. const whitelist = new Set(list); 
  12.  
  13. const all = Reflect.ownKeys(globalThis); 
  14.  
  15. all.forEach((k) => { 
  16.  
  17. if (whitelist.has(k)) { 
  18.  
  19. return
  20.  
  22.  
  23. if (k === "window") { 
  24.  
  25. console.log("window: ", k); 
  26.  
  28.  
  29. Reflect.deleteProperty(globalThis, k); 
  30.  
  31. }); 
  32.  
  34.  
  35. /** 
  36.  
  37. * 全局值的白名單 
  38.  
  39. */ 
  40.  
  41. const whitelist: ( 
  42.  
  43. | keyof typeof global 
  44.  
  45. | keyof WindowOrWorkerGlobalScope 
  46.  
  47. "console" 
  48.  
  49. )[] = [ 
  50.  
  51. "globalThis"
  52.  
  53. "console"
  54.  
  55. "setTimeout"
  56.  
  57. "clearTimeout"
  58.  
  59. "setInterval"
  60.  
  61. "clearInterval"
  62.  
  63. "postMessage"
  64.  
  65. "onmessage"
  66.  
  67. "Reflect"
  68.  
  69. "Array"
  70.  
  71. "Map"
  72.  
  73. "Set"
  74.  
  75. "Function"
  76.  
  77. "Object"
  78.  
  79. "Boolean"
  80.  
  81. "String"
  82.  
  83. "Number"
  84.  
  85. "Math"
  86.  
  87. "Date"
  88.  
  89. "JSON"
  90.  
  91. ]; 
  92.  
  93. whitelistWorkerGlobalScope(whitelist); 

然后在執(zhí)行第三方代碼前先執(zhí)行上面的代碼

  1. import beforeCode from "./whitelistWorkerGlobalScope.js?raw"
  2.  
  3. export class WebWorkerShadowbox implements IJavaScriptShadowbox { 
  4.  
  5. destroy(): void { 
  6.  
  7. this.worker.terminate(); 
  8.  
  10.  
  11. private worker!: Worker; 
  12.  
  13. eval(code: string): void { 
  14.  
  15. // 這行是關(guān)鍵 
  16.  
  17. const blob = new Blob([beforeCode + "\n" + code], { 
  18.  
  19. type: "application/javascript"
  20.  
  21. }); 
  22.  
  23. // 其他代碼。。。 
  24.  
  26.  

由于我們使用 ts 編寫源碼,所以還必須將 ts 打包為 js bundle,然后通過 vite 的 ?raw 作為字符串引入,下面吾輩寫了一個簡單的插件來完成這件事。

  1. import { defineConfig, Plugin } from "vite"
  2.  
  3. import reactRefresh from "@vitejs/plugin-react-refresh"
  4.  
  5. import checker from "vite-plugin-checker"
  6.  
  7. import { build } from "esbuild"
  8.  
  9. import * as path from "path"
  10.  
  11. export function buildScript(scriptList: string[]): Plugin { 
  12.  
  13. const _scriptList = scriptList.map((src) => path.resolve(src)); 
  14.  
  15. async function buildScript(src: string) { 
  16.  
  17. await build({ 
  18.  
  19. entryPoints: [src], 
  20.  
  21. outfile: src.slice(0, src.length - 2) + "js"
  22.  
  23. format: "iife"
  24.  
  25. bundle: true
  26.  
  27. platform: "browser"
  28.  
  29. sourcemap: "inline"
  30.  
  31. allowOverwrite: true
  32.  
  33. }); 
  34.  
  35. console.log("構(gòu)建完成: ", path.relative(path.resolve(), src)); 
  36.  
  38.  
  39. return { 
  40.  
  41. name: "vite-plugin-build-script"
  42.  
  43. async configureServer(server) { 
  44.  
  45. server.watcher.add(_scriptList); 
  46.  
  47. const scriptSet = new Set(_scriptList); 
  48.  
  49. server.watcher.on("change", (filePath) => { 
  50.  
  51. // console.log('change: ', filePath) 
  52.  
  53. if (scriptSet.has(filePath)) { 
  54.  
  55. buildScript(filePath); 
  56.  
  58.  
  59. }); 
  60.  
  61. }, 
  62.  
  63. async buildStart() { 
  64.  
  65. // console.log('buildStart: ', this.meta.watchMode) 
  66.  
  67. if (this.meta.watchMode) { 
  68.  
  69. _scriptList.forEach((src) => this.addWatchFile(src)); 
  70.  
  72.  
  73. await Promise.all(_scriptList.map(buildScript)); 
  74.  
  75. }, 
  76.  
  77. }; 
  78.  
  80.  
  81. // https://vitejs.dev/config/ 
  82.  
  83. export default defineConfig({ 
  84.  
  85. plugins: [ 
  86.  
  87. reactRefresh(), 
  88.  
  89. checker({ typescript: true }), 
  90.  
  91. buildScript([path.resolve("src/utils/app/whitelistWorkerGlobalScope.ts")]), 
  92.  
  93. ], 
  94.  
  95. }); 

現(xiàn)在,我們可以看到 web worker 中的全局 api 只有白名單中的那些了。

1635097498575

web worker 沙箱的主要優(yōu)勢

  • 可以直接使用 chrome devtool 調(diào)試
  • 直接支持 console/setTimeout/setInterval api
  • 直接支持消息通信的 api

 

責(zé)任編輯:張燕妮 來源: rxliuli blog
JavaScript開發(fā) 代碼
相關(guān)推薦

2021-12-29 11:38:59

JS前端沙箱

2015-11-12 10:03:34

前端H5web

2021-04-09 08:51:32

Web WorkerJavaScript微前端

2016-09-06 21:37:41

2011-05-25 10:21:44

Javascript

2025-03-24 07:15:00

WebWorkerWeb瀏覽器

2019-02-13 14:58:43

cssjavascript前端

2024-03-12 08:44:56

WebWorkerTypeScript語法

2022-04-13 09:28:19

JavaScripiframe開發(fā)

2017-07-17 06:46:06

2010-09-15 09:03:44

JavaScript

2025-02-20 12:11:07

WebWorker場景JS

2019-03-14 15:40:13

JavaScript CSS 工具

2018-01-30 18:49:16

前端JavascriptCSS

2021-12-29 22:29:10

JavaScript前端數(shù)組

2024-07-18 08:59:39

CanvasWebWorker代碼

2015-05-06 10:02:26

2018-12-14 11:30:00

JavaScript編程前端

2010-08-11 13:46:01

Flex安全沙箱

2009-07-14 11:23:06

CSS技術(shù)概覽
點贊
收藏

51CTO技術(shù)棧公眾號