Suojatun JavaScript-hiekkalaatikon luominen ES6-moduuleilla ja globalThisillä

GlobalThisin hallitseminen JavaScriptissä suojattua kontekstin eristämistä varten

On välttämätöntä estää luvaton pääsy globaaliin objektiin, kun kirjoitetaan JavaScript-koodia, joka on vuorovaikutuksessa ulkoisten tai epäluotettavien syötteiden kanssa. Tämä takaa ympäristösi turvallisuuden ja johdonmukaisuuden. Yksi nykyaikainen tapa hallita globaalia laajuutta on globalJavaScriptillä on suhteellisen uusi toiminto nimeltä tämä esine.

The maailmanlaajuisesti Riippumatta siitä, käyttävätkö he Node.js:ää vai selainta, kehittäjät voivat käyttää maailmanlaajuista kontekstia ympäristön yli tämän avulla esine. Ratkaisevaa, kansainvälinen, koska tämä on uudelleenkonfiguroitavissa, hiekkalaatikoita tai ohjattuja suoritusympäristöjä voidaan tehdä korvaamalla se tilapäisesti.

Kehittäjät voivat eristää koodin suorittamisen tällä toiminnolla, mikä on erityisen hyödyllistä työskennellessäsi epäluotettavien syötteiden kanssa. Voimme hiekkalaatikolla koodin luomalla ainutlaatuisen globaalin kontekstin, joka sallii pääsyn vain ennalta määrättyyn muuttujajoukkoon samalla kun estetään altistuminen globaalin objektin muulle osalle.

Tässä artikkelissa käsitellään sen käyttöä globaaliTämä ja ES6-moduulit hiekkalaatikon rakentamiseen. Esitän konseptin todisteen, joka hetkellisesti korvaa globaalin kontekstin takaamaan turvallisen koodin suorittamisen säännellyissä olosuhteissa.

Turvallisen globaalin kontekstin rakentaminen ES6-moduuleilla ja globalThisillä

Tarjottavien skriptien ensisijainen tavoite on tarjota a hiekkalaatikkoympäristö missä globaali objekti (globaaliTämä) korvataan tilapäisesti. Tämän menetelmän avulla voit pitää tärkeät muuttujat tai ominaisuudet piilossa alkuperäisestä globaalista objektista, mikä on erittäin hyödyllistä, kun työskentelet ulkoisen tai epäluotettavan koodin kanssa. Maailmanlaajuisen laajuuden uudelleenmäärittely varmistaa paremman muuttujan pääsyn hallinnan rajoittamalla koodin olennaisesti käyttämään vain hiekkalaatikossa ilmoitettuja ominaisuuksia.

Alkuperäisen tallentaminen globaaliTämä paikalliseen muuttujaan (tallennettuGlobal) on prosessin ensimmäinen vaihe ensimmäisessä esimerkissä. Tämä on tärkeä askel, koska kun hiekkalaatikkokoodi on suoritettu, globaali konteksti palautetaan. Kun globaali konteksti korvataan uudella objektilla (tässä, myContext), skripti pyrkii hakemaan muuttujia (tässä, a ja b) sijaitsee tässä hiekkalaatikossa. Kuten ensimmäisessä mainitussa numerossa osoitettiin, viitevirhe syntyy, jos tiettyjä muuttujia ei ole määritetty. Lopuksi, vihdoinkin lohko varmistaa, että globaali konteksti palautetaan aina suorituksen yhteydessä, jolloin vältetään odottamattomat vaikutukset sovelluksen muihin osiin.

Toinen lähestymistapa käyttää a Välityspalvelin vastustaa tämän menettelyn parantamista. JavaScriptissä välityspalvelimen avulla ohjelmoijat voivat tulkita uudelleen ja siepata objektien toimintoja. Tässä komentosarjassa välityspalvelin tarkkailee ominaisuuden käyttöoikeuksia koskevia pyyntöjä ja määrittää, onko haluttu ominaisuus Sandbox-objektissa. A ReferenceError heitetään siinä tapauksessa, että omaisuutta ei voida paikantaa, mikä takaa, että ulkoiset muuttujat eivät ole käytettävissä. Tästä syystä se on vahva vaihtoehto maailmanlaajuisen laajuuden turvaamiseen ja muuttuvien käyttöoikeuksien hallintaan dynaamisessa hiekkalaatikkoasetuksissa.

Hiekkalaatikon suorittamisen eristämiseksi kokonaan kolmas komentosarja käyttää IIFE:tä (Immediately Invoked Function Expression). Ulkoisen koodin on vaikea päästä käsiksi globaaliin kontekstiin tai häiritä sitä, koska IIFE-malli kääri koko toiminnon oman paikallisen laajuutensa sisään. Tämä menetelmä on turvallisempi, koska globalThis ei ole alttiina ulkomaailmalle ja sitä muutetaan vain IIFE:n sisällä. Takamalla, että kaikki hiekkalaatikkokoodi toimii täysin erillisessä ympäristössä, se parantaa komentosarjan toiminnan turvallisuutta ja johdonmukaisuutta.

let myContext = { a: 1, b: 2 };
let f = () => {
    let savedGlobal = globalThis;  // Save the original globalThis
    globalThis = myContext;        // Overwrite globalThis with the sandbox context
    try {
        let result = a + b;         // Attempt to access a and b within the sandbox
        return result;              // Return the calculated result
    } catch (e) {
        console.error(e);           // Catch errors, such as reference errors
    } finally {
        globalThis = savedGlobal;   // Restore the original global context
    }
};
console.log(f());

const myContext = { a: 1, b: 2 };
const sandboxHandler = {
    get: (target, prop) => {
        if (prop in target) {
            return target[prop];
        } else {
            throw new ReferenceError(\`Property \${prop} is not defined\`);
        }
    }
};
let mySandbox = new Proxy(myContext, sandboxHandler);
let f = () => {
    let savedGlobal = globalThis;
    globalThis = mySandbox;           // Overwrite with sandbox proxy
    try {
        let result = a + b;           // Access sandbox variables safely
        return result;
    } catch (e) {
        console.error(e);
    } finally {
        globalThis = savedGlobal;      // Restore global context
    }
};
console.log(f());

((globalThis) => {
    const myContext = { a: 1, b: 2 };
    const f = () => {
        let result = myContext.a + myContext.b;  // Access sandbox variables directly
        return result;
    };
    console.log(f());                // Log the result of the sandboxed function
})(globalThis);

Mukautetun globaalin kontekstin käytön laajentaminen JavaScript-hiekkalaatikossa

Toinen työllistämisen etu globalSen yhteensopivuus monien kontekstien, kuten verkkoselaimien ja palvelinpuolen järjestelmien, kuten Node.js, kanssa on tämä hiekkalaatikkotilanteessa. Pohjimmiltaan reitität koodisi painopisteen ohjattuun muuttujien kokoelmaan, kun kirjoitat globaalin objektin mukautetulla kontekstilla, kuten esimerkissämme osoitetaan. Tämä strategia voi olla erityisen hyödyllinen muuttujien ristikontaminaation estämisessä käytettäessä epäluotettavia kolmannen osapuolen komentosarjoja tai erotettaessa erilliset moduulit suuresta verkkosovelluksesta.

Toinen tärkeä tekijä on se, että JavaScriptin ES6-moduulijärjestelmässä on sisäänrakennetut rajaustekniikat, jotka erottavat muuttujat osittain. Toisaalta käyttämällä globaaliSallimalla meidän hallita koko globaalia tilannetta, tämä antaa meille mahdollisuuden mennä tämän pidemmälle. Estämällä komentosarjoja, joiden ei pitäisi päästä käsiksi siihen, näkemästä alkuperäistä globaalia kontekstia, tämä ei ainoastaan ​​vahvista turvallisuutta, vaan auttaa myös estämään maailmanlaajuisten muuttujien tahattomat päällekirjoitukset. Tämä menetelmä toimii hyvin sovellusten suojaamisessa haitalliselta tai huonosti kirjoitetulta koodilta.

ES6-moduulien yhdistäminen Välityspalvelimet parantaa tietoturvaa entisestään tilanteissa, joissa tarvitset tarkkaa hallintaa sen suhteen, millä sovelluksesi komponenteilla on pääsy globaaliin objektiin. Suodattamalla pääsyn tiettyihin yleisen objektin ominaisuuksiin välityspalvelimet antavat sinun varmistaa, että vain sallittuja ominaisuuksia voidaan käyttää. Usean vuokralaisen sovelluksessa jokaisen vuokralaisen tiedot on erotettava täysin muiden vuokralaisten tiedoista. Tämä ratkaisu on skaalautuva ja mukautuva erilaisiin käyttötapauksiin.