Ustvarjanje varnega peskovnika JavaScript z moduli ES6 in globalThis

Obvladovanje globalThis v JavaScriptu za varno izolacijo konteksta

Pri pisanju kode JavaScript, ki je v interakciji z zunanjimi ali nezaupljivimi vhodi, je nujno treba preprečiti nepooblaščen dostop do globalnega objekta. To zagotavlja varnost in doslednost vaše okolice. Eden od sodobnih načinov nadzora globalnega obsega je prek globalJavaScript ima relativno novo funkcionalnost, imenovano to predmet.

The worldwideNe glede na to, ali uporabljajo Node.js ali brskalnik, lahko razvijalci s tem dostopajo do globalnega konteksta v različnih okoljih predmet. Bistveno, mednarodniKer to je mogoče znova konfigurirati, je mogoče narediti peskovnike ali okolja z nadzorovanim izvajanjem tako, da jih začasno prepišete.

Razvijalci lahko s to funkcijo izolirajo izvajanje kode, kar je še posebej uporabno pri delu z nezaupljivimi vnosi. Kodo lahko umestimo v peskovnik tako, da vzpostavimo edinstven globalni kontekst, ki bo dovoljeval dostop samo do vnaprej določenega nabora spremenljivk, hkrati pa preprečil izpostavljenost preostalemu delu globalnega objekta.

Ta članek bo obravnaval, kako uporabljati globalThis in module ES6 za izdelavo peskovnika. Predstavil bom dokaz koncepta, ki za trenutek nadomesti globalni kontekst in tako zagotovi varno izvajanje kode v reguliranem okolju.

Gradnja varnega globalnega konteksta z moduli ES6 in globalThis

Glavni cilj ponujenih skriptov je zagotoviti a okolje v peskovniku kjer je globalni objekt (globalThis) je začasno nadomeščen. Ta metoda vam omogoča, da pomembne spremenljivke ali lastnosti izvirnega globalnega objekta ostanejo skrite, kar je zelo koristno pri delu z zunanjo ali nezaupljivo kodo. Ponovno definiranje globalnega obsega zagotavlja boljši nadzor nad dostopom do spremenljivk, tako da v bistvu omeji kodo samo na dostop do lastnosti, navedenih v peskovniku.

Shranjevanje izvirnika globalThis v lokalno spremenljivko (savedGlobal) je prvi korak v procesu v prvem primeru. To je pomemben korak, saj bo po izvedbi kode v peskovniku globalni kontekst obnovljen. Po zamenjavi globalnega konteksta z novim objektom (tukaj myContext), si skript prizadeva pridobiti spremenljivke (tukaj, a in b), ki se nahaja v tem peskovniku. Kot je prikazano v prvi omenjeni zadevi, se referenčna napaka sproži, če nekatere spremenljivke niso določene. Nazadnje, končno block zagotavlja, da se po izvedbi vedno obnovi globalni kontekst, s čimer se izognemo morebitnim nepričakovanim učinkom na druga področja aplikacije.

Drugi pristop uporablja a Proxy nasprotuje izboljšanju tega postopka. V JavaScriptu proxy programerjem omogoča, da na novo interpretirajo in prestrežejo dejanja, izvedena na predmetih. Znotraj tega skripta proxy spremlja zahteve za dostop do lastnosti in ugotavlja, ali je želena lastnost prisotna v objektu peskovnika. A ReferenceError se vrže v primeru, da lastnosti ni mogoče najti, kar zagotavlja, da nobena zunanja spremenljivka ni dostopna. Zaradi tega je močna možnost za zavarovanje globalnega obsega in upravljanje spremenljivega dostopa v dinamični nastavitvi peskovnika.

Da bi popolnoma izolirali izvajanje v peskovniku, tretji skript uporablja IIFE (Immediately Invoked Function Expression). Zunanji kodi je težko dostopati do globalnega konteksta ali posegati vanj, ker vzorec IIFE ovije celotno dejanje znotraj svojega lokalnega obsega. Ta metoda je bolj varna, ker globalThis ni izpostavljen zunanjemu svetu in se spreminja le znotraj IIFE. Z zagotavljanjem, da vsa koda v peskovniku deluje v popolnoma ločenem okolju, povečuje varnost in doslednost delovanja skripta.

let myContext = { a: 1, b: 2 };
let f = () => {
    let savedGlobal = globalThis;  // Save the original globalThis
    globalThis = myContext;        // Overwrite globalThis with the sandbox context
    try {
        let result = a + b;         // Attempt to access a and b within the sandbox
        return result;              // Return the calculated result
    } catch (e) {
        console.error(e);           // Catch errors, such as reference errors
    } finally {
        globalThis = savedGlobal;   // Restore the original global context
    }
};
console.log(f());

const myContext = { a: 1, b: 2 };
const sandboxHandler = {
    get: (target, prop) => {
        if (prop in target) {
            return target[prop];
        } else {
            throw new ReferenceError(\`Property \${prop} is not defined\`);
        }
    }
};
let mySandbox = new Proxy(myContext, sandboxHandler);
let f = () => {
    let savedGlobal = globalThis;
    globalThis = mySandbox;           // Overwrite with sandbox proxy
    try {
        let result = a + b;           // Access sandbox variables safely
        return result;
    } catch (e) {
        console.error(e);
    } finally {
        globalThis = savedGlobal;      // Restore global context
    }
};
console.log(f());

((globalThis) => {
    const myContext = { a: 1, b: 2 };
    const f = () => {
        let result = myContext.a + myContext.b;  // Access sandbox variables directly
        return result;
    };
    console.log(f());                // Log the result of the sandboxed function
})(globalThis);

Razširitev uporabe globalnega konteksta po meri v peskovniku JavaScript

Še ena prednost zaposlitve globalNjegova združljivost s številnimi konteksti, kot so spletni brskalniki in sistemi na strani strežnika, kot je Node.js, je to v situaciji peskovnika. V bistvu preusmerjate poudarek vaše kode na nadzorovano zbirko spremenljivk, ko prepišete globalni objekt s kontekstom po meri, kot je prikazano v našem primeru. Pri izvajanju nezaupljivih skriptov tretjih oseb ali ločevanju ločenih modulov velike spletne aplikacije je ta strategija lahko še posebej koristna pri preprečevanju navzkrižne kontaminacije spremenljivk.

Dejstvo, da ima sistem modulov ES6 v JavaScriptu vgrajene tehnike obsega, ki delno ločujejo spremenljivke, je še en ključni element. Po drugi strani pa uporaba globalno S tem, ko nam dovolite, da upravljamo celotno globalno situacijo, to nam omogoča, da presežemo to. S tem, ko skriptom, ki ne bi smeli imeti dostopa do njega, preprečite, da bi videli izvirni globalni kontekst, to ne samo krepi varnost, ampak pomaga tudi pri preprečevanju nenamernih prepisov globalnih spremenljivk. Ta metoda dobro deluje pri zaščiti aplikacij pred zlonamerno ali napačno napisano kodo.

Združevanje modulov ES6 z Proxyji še dodatno izboljša varnost v situacijah, ko potrebujete natančen nadzor nad tem, katere komponente vaše aplikacije imajo dostop do globalnega objekta. S filtriranjem dostopa do določenih lastnosti znotraj globalnega objekta vam posredniki zagotovijo, da lahko dostopate samo do dovoljenih lastnosti. Podatki vsakega najemnika v aplikaciji z več najemniki morajo biti popolnoma ločeni od podatkov drugih najemnikov. Ta rešitev je razširljiva in prilagodljiva različnim primerom uporabe.