Запуск кода клиента на Nodejs в песочнице

Question

Я хочу, чтобы клиенты могли отправлять сценарии, которые будут выполняться на сервере. Сценарии будут рассмотрены администраторами до запуска, но я хочу предотвратить катастрофы, если эксплоит не будет обнаружен.

Клиент должен использовать только функции, определенные API. Моя стратегия заключалась в том, чтобы создать vm, чтобы создать новый контекст с доступом только к api.

var vm = require('vm'); 

var v = 0; //incremetable via API 

var api = { 
    incr:function(){ 
     v++; 
    } 
} 

var userCode = 
`(function(api){ 
    api.incr(); 
    process.exit();  //ERROR: process is undefined 
})`; 

vm.runInNewContext(userCode)(api); 

console.log(v); 

---

В теории это выглядит нормально. Тем не менее, оказывается, что вы можете разбить сервер через

api.incr.constructor("return this")().process.exit(1)

---

Как я мог бы предложить API (так называемый потенциал сценария для изменения основного контекста) без ущерба для моего сервера?

Нечто похожее на iframe в браузере.

Answer 1

Вы можете изменить функцию this, используя .bind. Например:

var api = { 
    incr: (function() { 
     return v++; 
    }).bind(api) 
} 

Обратите внимание, что это не проверено. Вероятно, есть способы подорвать такой метод, но это предотвратит некоторые атаки. Как правило, это плохая идея запускать код пользователя на вашем сервере, в первую очередь, VM или нет. На самом деле я очень удивлен тем, что узел разрешил такую ​​ошибку. Возможно, неплохо было бы опубликовать отчет об ошибке.