js实现沙盒

实现沙盒的基本概念

沙盒（Sandbox）是一种安全机制，用于隔离运行环境，限制代码对系统资源的访问。在JavaScript中，沙盒常用于执行不受信任的代码，防止其影响主程序或宿主环境。

使用iframe实现沙盒

通过iframe可以创建一个独立的浏览器环境，限制代码的访问权限。iframe的sandbox属性可以进一步控制权限。

<iframe sandbox="allow-scripts" src="about:blank"></iframe>

const iframe = document.createElement('iframe');
iframe.sandbox = 'allow-scripts';
iframe.src = 'about:blank';
document.body.appendChild(iframe);

const sandboxedCode = 'console.log("Hello from sandbox!");';
iframe.contentWindow.eval(sandboxedCode);

使用Proxy实现沙盒

Proxy可以拦截对象的操作，限制对全局对象的访问。

function createSandbox(code) {
  const sandbox = new Proxy({}, {
    has(target, key) {
      return true; // 欺骗代码，使其认为所有属性都存在
    },
    get(target, key) {
      if (key === 'console') return console;
      // 限制其他全局对象的访问
      return undefined;
    }
  });

  const fn = new Function('sandbox', `with(sandbox) { ${code} }`);
  fn(sandbox);
}

createSandbox('console.log("Hello from Proxy sandbox!");');

使用Worker实现沙盒

Web Worker运行在独立的线程中，无法访问DOM或主线程的全局变量，天然具备沙盒特性。

const workerCode = `
  self.onmessage = function(e) {
    console.log('Worker received:', e.data);
    postMessage('Hello from Worker!');
  };
`;

const blob = new Blob([workerCode], { type: 'application/javascript' });
const worker = new Worker(URL.createObjectURL(blob));

worker.onmessage = function(e) {
  console.log('Main thread received:', e.data);
};

worker.postMessage('Hello from main thread!');

使用ShadowRealm提案

ShadowRealm是ECMAScript提案中的新特性，专门用于创建隔离的JavaScript执行环境。

// 注意：ShadowRealm目前尚未被浏览器广泛支持
const realm = new ShadowRealm();
const result = realm.evaluate('1 + 2');
console.log(result); // 3

沙盒的安全注意事项

• 避免直接使用eval或Function构造函数执行不受信任的代码。
• 限制对敏感全局对象（如window、document）的访问。
• 使用CSP（Content Security Policy）增强安全性。
• 对输入代码进行静态分析和过滤。

每种方法都有其适用场景和局限性，应根据具体需求选择最合适的沙盒实现方案。