js实现沙盒

JavaScript 沙盒实现方法

JavaScript 沙盒是一种隔离执行环境的技术，用于限制代码的访问权限，防止恶意代码影响主应用或访问敏感数据。以下是几种常见的实现方法：

使用 iframe 实现沙盒

创建一个隔离的 iframe 环境是最常见的沙盒实现方式之一。通过将代码放入 iframe 中执行，可以限制其对主页面 DOM 和全局变量的访问。

const sandbox = document.createElement('iframe');
sandbox.style.display = 'none';
document.body.appendChild(sandbox);

const iframeWindow = sandbox.contentWindow;
iframeWindow.eval('console.log("Running in sandbox");');

使用 Proxy 对象限制访问

通过 Proxy 可以拦截和限制对全局对象的访问，创建一个受控的执行环境。

const sandbox = new Proxy(window, {
  get(target, prop) {
    if (['console', 'setTimeout'].includes(prop)) {
      return target[prop];
    }
    throw new Error(`Access to ${prop} is denied in sandbox`);
  },
  set() {
    throw new Error('Modifications are not allowed in sandbox');
  }
});

with(sandbox) {
  console.log('This will work');
  document.write('This will throw error'); // Error
}

使用 Web Workers

Web Workers 运行在独立线程中，无法访问 DOM，天然具备隔离特性。

const workerCode = `
  self.onmessage = function(e) {
    console.log('Message received in worker:', e.data);
    postMessage('Worker response');
  };
`;

const blob = new Blob([workerCode], {type: 'application/javascript'});
const worker = new Worker(URL.createObjectURL(blob));

worker.postMessage('Hello Worker');
worker.onmessage = (e) => console.log('Main thread:', e.data);

使用 Function 构造函数

Function 构造函数创建的函数默认在全局作用域执行，但可以通过绑定特定上下文来限制访问。

function createSandbox(code, context = {}) {
  const func = new Function('ctx', `with(ctx) { ${code} }`);
  return func.bind(context)(context);
}

const safeContext = {
  console,
  allowedVar: 'safe value'
};

createSandbox('console.log(allowedVar);'); // works
createSandbox('document.write("test");'); // throws error

使用 ShadowRealm API (实验性)

新的 ShadowRealm API 提供了更强大的沙盒能力，但目前浏览器支持有限。

const realm = new ShadowRealm();
const result = realm.evaluate('1 + 2'); // 3

安全注意事项

每种沙盒方法都有其局限性和潜在的安全风险。iframe 可能受到同源策略限制，Proxy 不能完全阻止所有访问方式，Web Workers 无法完全模拟浏览器环境。应根据具体需求选择合适方案，并进行充分的安全测试。