Creación de un Sandbox seguro de JavaScript con módulos ES6 y globalThis

Creación de un Sandbox seguro de JavaScript con módulos ES6 y globalThis
Creación de un Sandbox seguro de JavaScript con módulos ES6 y globalThis
Louis Robert
Jueves, 26 de septiembre de 2024, 22:03:33

Dominar globalThis en JavaScript para un aislamiento seguro del contexto

Es imperativo evitar el acceso no autorizado al objeto global al escribir código JavaScript que interactúa con entradas externas o que no son de confianza. Esto garantiza la seguridad y coherencia de su entorno. Un método contemporáneo de controlar el alcance global es a través de la globalJavaScript tiene una funcionalidad relativamente nueva llamada esta objeto.

El en todo el mundoIndependientemente de si utilizan Node.js o un navegador, los desarrolladores pueden acceder al contexto global de forma transambiental con este objeto. Fundamentalmente, internacionalPorque esto es reconfigurable, se pueden crear entornos sandbox o de ejecución controlada sobrescribiéndolo temporalmente.

Los desarrolladores pueden aislar la ejecución del código con esta funcionalidad, que resulta especialmente útil cuando se trabaja con entradas que no son de confianza. Podemos proteger el código estableciendo un contexto global único, que solo permitirá el acceso a un conjunto predeterminado de variables y al mismo tiempo evitará la exposición al resto del objeto global.

Este artículo discutirá cómo usar globalEsto y módulos ES6 para construir un sandbox. Demostraré una prueba de concepto que reemplaza momentáneamente el contexto global para garantizar la ejecución segura del código en un entorno regulado.

Dominio Ejemplo de uso
globalThis miContexto = globalThis; - Ya sea en un navegador o en Node.js, globalThis es un objeto único que ofrece una referencia universal al objeto global. Aquí, se sobrescribe para emular un entorno limitado y establecer un alcance global único.
Proxy let mySandbox = new Proxy(sandboxHandler, myContext); - Las operaciones de un objeto pueden interceptarse y redefinirse a través de un proxy; en este ejemplo, se puede controlar el acceso a las variables de contexto del recinto de seguridad.
get get: (target, prop) =>obtener: (objetivo, prop) => {... } - El conseguir trap en el Proxy intercepta los intentos de acceder a las propiedades del objeto sandbox, asegurando que solo se devuelvan las propiedades permitidas, arrojando errores para las no definidas.
finally Por último, GlobalEsto es igual a saveGlobal; - Si ocurre un error durante la ejecución o no, el finalmente block se asegura de que la integridad del objeto global se mantenga restaurando el contexto global original.
ReferenceError 'La propiedad no está definida'; lanzar un nuevo error de referencia; - A Error de referencia se lanza manualmente para manejar casos en los que se intenta acceder a variables no definidas dentro del entorno sandbox, lo que mejora la seguridad al evitar el acceso inesperado.
IIFE ((globalThis) =>((globalThis) => { ... })(globalThis); - Un IIFE (Expresión de función invocada inmediatamente) se utiliza para crear un alcance local, protegiendo el objeto global de una exposición no deseada mientras se ejecuta el código de espacio aislado.
try...catch 'La propiedad no está definida'; lanzar un nuevo error de referencia; - A Error de referencia se lanza manualmente para manejar casos en los que se intenta acceder a variables no definidas dentro del entorno sandbox, lo que mejora la seguridad al evitar el acceso inesperado.
savedGlobal 'La propiedad no está definida'; lanzar un nuevo error de referencia; - A Error de referencia se lanza manualmente para manejar casos en los que se intenta acceder a variables no definidas dentro del entorno sandbox, lo que mejora la seguridad al evitar el acceso inesperado.

Construyendo un contexto global seguro con módulos ES6 y globalThis

El objetivo principal de los guiones que se ofrecen es proporcionar una entorno de espacio aislado donde el objeto global (globalEsto) se reemplaza temporalmente. Este método le permite mantener ocultas variables o propiedades importantes del objeto global original, lo cual es muy útil cuando se trabaja con código externo o que no es de confianza. Redefinir el alcance global garantiza un mejor control sobre el acceso a las variables al limitar esencialmente el código para acceder solo a las propiedades declaradas en el sandbox.

Guardando el original globalEsto en una variable local (guardadoGlobal) es el primer paso del proceso en el primer ejemplo. Este es un paso importante porque, una vez que se realiza el código de espacio aislado, se restaurará el contexto global. Al reemplazar el contexto global con un nuevo objeto (aquí, miContexto), el script intenta recuperar variables (aquí, a y b) situado dentro de esta zona de pruebas. Como se demostró en el primer número mencionado, se genera un error de referencia si no se especifican ciertas variables. Por último, el finalmente block se asegura de que, tras la ejecución, el contexto global siempre se restablezca, evitando efectos inesperados en otras áreas de la aplicación.

El segundo enfoque hace uso de un Apoderado objeto de mejorar este procedimiento. En JavaScript, un proxy permite a los programadores reinterpretar e interceptar acciones realizadas sobre objetos. Dentro de este script, el Proxy monitorea las solicitudes de acceso a la propiedad y determina si la propiedad deseada está presente en el objeto sandbox. A Error de referencia se lanza en caso de que no se pueda localizar la propiedad, garantizando que no se pueda acceder a variables externas. Debido a esto, es una opción sólida para proteger el alcance global y administrar el acceso a variables en una configuración de espacio aislado dinámico.

Para aislar completamente la ejecución de la zona de pruebas, el tercer script emplea una IIFE (Expresión de función invocada inmediatamente). Es difícil que el código externo acceda al contexto global o interfiera con él porque el patrón IIFE envuelve toda la acción dentro de su propio alcance local. Este método es más seguro porque el globalThis no está expuesto al mundo exterior y sólo se modifica dentro del IIFE. Al garantizar que todo el código aislado funcione en un entorno completamente segregado, se mejora la seguridad y la coherencia en el funcionamiento del script.

Creación de un Sandbox con módulos ES6 para gestionar el contexto global de JavaScript

Este método sobrescribe globalEsto para construir un entorno limitado que mantenga de forma segura el contexto global utilizando JavaScript (ES6). Ofrece una prueba de concepto sencilla para aplicaciones dinámicas de front-end.

let myContext = { a: 1, b: 2 };
let f = () => {
    let savedGlobal = globalThis;  // Save the original globalThis
    globalThis = myContext;        // Overwrite globalThis with the sandbox context
    try {
        let result = a + b;         // Attempt to access a and b within the sandbox
        return result;              // Return the calculated result
    } catch (e) {
        console.error(e);           // Catch errors, such as reference errors
    } finally {
        globalThis = savedGlobal;   // Restore the original global context
    }
};
console.log(f());

Solución mejorada: uso de proxy para interceptar el acceso global

Esta técnica evita la exposición variable no intencionada mediante el uso de un objeto Proxy para interceptar el acceso al contexto global, mejorando la seguridad y la modularidad. Apropiado para su uso en configuraciones de front-end y back-end de JavaScript.

const myContext = { a: 1, b: 2 };
const sandboxHandler = {
    get: (target, prop) => {
        if (prop in target) {
            return target[prop];
        } else {
            throw new ReferenceError(\`Property \${prop} is not defined\`);
        }
    }
};
let mySandbox = new Proxy(myContext, sandboxHandler);
let f = () => {
    let savedGlobal = globalThis;
    globalThis = mySandbox;           // Overwrite with sandbox proxy
    try {
        let result = a + b;           // Access sandbox variables safely
        return result;
    } catch (e) {
        console.error(e);
    } finally {
        globalThis = savedGlobal;      // Restore global context
    }
};
console.log(f());

Solución con IIFE para un mejor aislamiento del contexto

Este método encapsula completamente el entorno de espacio aislado mediante el uso de una expresión de función invocada inmediatamente (IIFE). Garantiza que las variables que no estén dentro del contexto especificado no sean accesibles en absoluto.

((globalThis) => {
    const myContext = { a: 1, b: 2 };
    const f = () => {
        let result = myContext.a + myContext.b;  // Access sandbox variables directly
        return result;
    };
    console.log(f());                // Log the result of the sandboxed function
})(globalThis);

Ampliando el uso del contexto global personalizado en el sandboxing de JavaScript

Otro beneficio de emplear globalSu compatibilidad con muchos contextos, como navegadores web y sistemas del lado del servidor como Node.js, es esto en una situación de sandboxing. En esencia, estás redirigiendo el énfasis de tu código a una colección controlada de variables cuando sobrescribes el objeto global con un contexto personalizado, como se demuestra en nuestro ejemplo. Cuando se ejecutan scripts de terceros que no son de confianza o se separan módulos distintos de una aplicación en línea de gran tamaño, esta estrategia puede resultar especialmente útil para evitar la contaminación cruzada de variables.

El hecho de que el sistema de módulos ES6 en JavaScript tenga técnicas de alcance integradas que separan parcialmente las variables es otro elemento crucial. Por otra parte, utilizando globalAl permitirnos gobernar la situación global completa, este nos permite ir más allá. Al evitar que los scripts que no deberían poder acceder a él vean el contexto global original, esto no solo fortalece la seguridad sino que también ayuda a evitar sobrescrituras involuntarias de variables globales. Este método funciona bien para proteger aplicaciones de códigos maliciosos o mal escritos.

Combinando módulos ES6 con apoderados mejora aún más la seguridad en situaciones en las que necesita un control detallado sobre qué componentes de su aplicación tienen acceso al objeto global. Al filtrar el acceso a propiedades específicas dentro del objeto global, los servidores proxy le permiten asegurarse de que solo se pueda acceder a las propiedades permitidas. Los datos de cada inquilino en una aplicación multiinquilino deben estar completamente separados de los datos de los demás inquilinos. Esta solución es escalable y adaptable a diversos casos de uso.

Preguntas comunes sobre el entorno limitado de contexto global con módulos ES6

  1. ¿Cuál es el papel de globalThis en JavaScript?
  2. 'La propiedad no está definida'; lanzar un nuevo error de referencia; - A Error de referencia se lanza manualmente para manejar casos en los que se intenta acceder a variables no definidas dentro del entorno sandbox, lo que mejora la seguridad al evitar el acceso inesperado.
  3. ¿Por qué es importante el sandboxing en JavaScript?
  4. La protección de variables confidenciales, la limitación del acceso de programas no autorizados al objeto global y el aislamiento de la ejecución de código son posibles mediante el sandboxing.
  5. ¿Cómo funciona el Proxy ¿El objeto mejora la seguridad del sandbox?
  6. A Proxy es una herramienta eficaz para la seguridad del entorno sandbox porque puede interceptar los accesos a propiedades y limitar el acceso solo a propiedades predefinidas.
  7. ¿Cómo puede ayudar un IIFE en el aislamiento de contextos globales y qué significa?
  8. Una IIFE (expresión de función invocada inmediatamente) encapsula la ejecución del código, evitando el acceso externo al objeto global y garantizando un aislamiento completo del entorno limitado.
  9. Una IIFE (expresión de función invocada inmediatamente) aísla la ejecución del código, prohibiendo el acceso externo al objeto global y proporcionando un aislamiento total del entorno limitado.
  10. No se recomienda utilizar el obsoleto with declaración. sustitutos contemporáneos como globalThis y Proxy Los objetos ofrecen opciones más confiables y seguras.

Reflexiones finales sobre la creación de un entorno limitado de JavaScript seguro

Configurar una zona de pruebas usando globalThis en módulos ES6 es una técnica eficaz para regular de forma manejable y segura el acceso a variables. Permite ejecutar código que no es de confianza de forma más segura y garantiza la protección de variables globales cruciales.

Este método permite a los desarrolladores modificar y controlar completamente su contexto global cuando se usa con apoderados. Esta técnica crea un entorno más seguro al impedir el acceso no autorizado a variables que no están protegidas, especialmente en sistemas complicados o de múltiples inquilinos.

Fuentes y referencias para el contexto de JavaScript y el sandboxing
  1. Documentación detallada sobre el globalEsto Se hizo referencia al objeto y su uso en MDN Web Docs. Explica como globalEsto proporciona una referencia universal al objeto global y cómo se puede sobrescribir por motivos de seguridad. Documentos web de MDN - globalThis
  2. Orientación sobre el uso Apoderado Los objetos para mejorar la seguridad del espacio aislado e interceptar el acceso a las propiedades de los objetos se adaptaron de la documentación oficial de ECMAScript. Objetos proxy ECMAScript
  3. Se revisaron conceptos generales sobre sandboxing y aislamiento de contexto en JavaScript para mejorar la seguridad de las aplicaciones web a partir de las pautas de OWASP para prácticas de codificación segura. Prácticas de codificación segura de OWASP