- 综合排序
- 最热优先
- 最新优先
- 来自专栏前端Q
你不知道的JS 沙箱隔离
自从 2014 年 HTML5 正式推荐标准发布以来,HTML5 增加了越来越多强大的特性和功能,而在这其中,工作线程(Web Worker)概念的推出让人眼前一亮,但未曾随之激起多大的浪花,并被在其随后工程侧的 提到沙箱,我会先想到出于兴趣玩过的沙盒游戏,但我们要探索的 JavaScript 沙箱不同于沙盒游戏,沙盒游戏注重对世界基本元素的抽象、组合以及物理力系统的实现等,而 JavaScript 沙箱则更注重在使用共享数据时对操作状态的隔离 的沙箱隔离。 ,然后在宿主中生命周期中实现移除,能够以较小的开发成本实现整个 JavaScript 沙箱隔离的机制。 、document 全局方法的并代理到主线程的方式实现了部分的 JavaScript 沙箱隔离(暂时没看到路由隔离的相关代码实现)。
2.3K40发布于 2021-10-11 - 来自专栏前端框架源码剖析
微前端01 : 乾坤的Js隔离机制(快照沙箱、两种代理沙箱)
相较于single-spa,乾坤做了两件重要的事情,其一是加载资源,第二是进行资源隔离。而资源隔离又分为Js资源隔离和css资源隔离,本文主要探索的是乾坤的Js资源隔离机制。 下文会分三部分来进行讲解: 乾坤Js隔离机制的发展史; 编码实现三种Js隔离机制的核心逻辑,并分析各自的优劣; 分析乾坤的三种Js隔离机制的源代码,并深入细节进行解析; 1、乾坤Js隔离机制的发展史 我们把Js隔离机制常常称作沙箱,事实上,乾坤有三种Js隔离机制,并且在源代码中也是以 SnapshotSandbox、LegacySandbox、ProxySandbox三个类名来指代三种不同的隔离机制 下文我们统一以快照沙箱、支持单应用的代理沙箱、支持多应用的代理沙箱,来代表这三种不同的Js隔离机制。那么问题来了,隔离就隔离,怎么有这么多沙箱? 其实到了这里,如果读者朋友已经理解了上面的思路,就可以说已经理解了乾坤的Js隔离机制。下面我们来看看乾坤的源码具体是怎么实现的这三个沙箱机制。
3.1K20编辑于 2022-09-27 - 来自专栏前端技术江湖
前端技术探索 - 你不知道的JS 沙箱隔离
自从 2014 年 HTML5 正式推荐标准发布以来,HTML5 增加了越来越多强大的特性和功能,而在这其中,工作线程(Web Worker)概念的推出让人眼前一亮,但未曾随之激起多大的浪花,并被在其随后工程侧的 提到沙箱,我会先想到出于兴趣玩过的沙盒游戏,但我们要探索的 JavaScript 沙箱不同于沙盒游戏,沙盒游戏注重对世界基本元素的抽象、组合以及物理力系统的实现等,而 JavaScript 沙箱则更注重在使用共享数据时对操作状态的隔离 的沙箱隔离。 ,然后在宿主中生命周期中实现移除,能够以较小的开发成本实现整个 JavaScript 沙箱隔离的机制。 、document 全局方法的并代理到主线程的方式实现了部分的 JavaScript 沙箱隔离(暂时没看到路由隔离的相关代码实现)。
2.1K30发布于 2021-04-21 - 来自专栏伪架构师
(译)为容器提供更好的隔离:沙箱容器技术概览
主机操作系统在为每个容器创建虚拟的用户空间时,不同容器之间的隔离是很薄弱的,这是造成上述问题的根本原因。基于这样的现状,真正的沙箱式容器,成为很多研发工作的焦点。 具体的解决方式就是创建一个真正的沙箱容器,尽可能的从主机操作系统中隔离开来。多数解决方案都是一种混合架构,在虚拟机的强信任边界和容器的高效率之间尝试取得平衡。 虽然在公有云中,虚拟机的强隔离性要优于容器,但是使用通用的 VMM 和虚拟机来做应用沙箱是很不经济的。Firecracker 为云原生应用定制了 VMM,兼顾了安全和性能两方面问题。 评估表明,Firecracker 的 microVM,运行在 2CPU 和 256G 内存的主机上,消耗不到 5MB 内存,启动大约用了 125ms。 图 5 展示了 Firecracker 架构以及它的安全边界。 ? Firecracker VMM 依赖于 KVM,每个 Firecrfacker 实例都以用户空间进程的方式运行。
3.6K30发布于 2019-07-24 - 来自专栏没有用户名丶的专栏
前端沙箱利用这些特性实现代码的隔离和限制
名词解释:沙箱也称作:“沙盒/沙盘”。沙箱是一种安全机制,为运行中的程序提供隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。 前端沙箱利用这些特性来实现代码的隔离和限制。一、什么是小程序沙箱小程序沙箱是一种用于保护小程序的安全性和稳定性的安全机制,类似于前端沙箱。 具体来说,小程序沙箱的实现方式包括以下几个方面:1、安全隔离 小程序沙箱会将小程序中的代码隔离在一个独立的环境中,避免恶意代码对其他程序或系统的攻击。 小程序沙箱会为每个小程序创建一个独立的运行环境,保证各个小程序之间的安全隔离。在小程序沙箱中,每个小程序都有自己的代码、数据和运行环境,相互之间不会产生干扰。 沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。
80720编辑于 2023-04-18 - 来自专栏前端杂货铺
沙箱
因此,可以采用一种 沙箱模式来管理我们的代码。 该模式创建了一个新的环境变量,所有的变量在该环境内可访问,环境外不可访问(前提是不隐式声明 全局变量如 a=123)。 具体的沙箱模式可以这样实现: 1 function Sandbox(){ 2 if(! (this instanceof Sandbox)) return new Sandbox(); 3 this.modules = {}; 4 } 5 47 s.speak(); 48 }) 49 }) 另外,jQuery的创建者之前提到过另一种在js执行引擎级别的代码隔离
1.8K40发布于 2018-03-15 - 来自专栏前端博客
再谈沙箱:前端所涉及的沙箱细讲
沙箱或称沙盒,即sandbox,顾名思义,就是让程序跑在一个隔离的环境下,不对外界的其他程序造成影响,外界无法修改该环境内任何信息,沙箱内的东西单独属于一个世界,通过创建类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响 渲染进程被沙箱(Sandbox)隔离,网页 web 代码内容必须通过 IPC 通道才能与浏览器内核进程通信,通信过程会进行安全的检查。 沙箱设计的目的是为了让不可信的代码运行在一定的环境中,从而限制这些代码访问隔离区之外的资源。浏览器上JavaScript就是在沙盒中执行,严格控制的环境。沙箱将JavaScript与桌面世界隔离开来。 总而言之:要解析或执行不可信的JS的时候,要隔离被执行代码的执行环境的时候,要对执行代码中可访问对象进行限制的时候如何实现/使用沙箱实现沙箱最方便的模式iframe,同理,也可以使用webWorker。 具体参看《Web Worker 使用教程》借助iframe实现沙箱sandbox是h5的提出的一个新属性, 启用方式就是在iframe标签中使用sandbox属性:这是目前比较通用的前端实现沙箱的方案,
2.4K10编辑于 2023-05-07 - 来自专栏coding个人笔记
js沙箱
沙箱,英文是sandbox,敲程序的应该都听过,或许用过类似理念的只是自己不知道,简单说就是让你的程序运行在一个隔离的环境下,不对外界的其他程序造成影响。 沙箱主要是一种安全机制,把一些不信任的代码运行在沙箱之内,不能访问沙箱之外的代码。比如在线编辑器、执行第三方js、vue服务端渲染等,只要是运行不信任的程序,沙箱隔离就会使用到。 这是目前js沙箱能做到的最好的沙箱机制了,很多会再加上iframe去做更多的限制,因为H5提出了iframe的sandbox属性,限制了更多,也可以进行配置解决这些限制。当然,想要绕过方法还是有的。 而nodejs沙箱就很简单了,直接用内部提供的VM Module就可以了。感兴趣可以自己去查一查。 其实沙箱问题很多,解决修复这些方法也很多,感觉就是一堆大佬在博弈。 这边想提一嘴,微前端概念其实就是用js创造一个类似iframe的沙箱,解决隔离问题,分别运行各个项目。所以现在沙箱使用也不一定都是安全机制,也会因为功能需求使用。常见的有快照沙箱和proxy沙箱。
1.5K20发布于 2020-08-28 AI Agent 的代码执行沙箱:从容器到微虚拟机的隔离之道
这把AIAgent沙箱的核心矛盾摆上了桌面:Agent执行代码,需要隔离;隔离意味着开销。ZeroBoot给出了一个极端的答案。本文从这里出发,与我一起满足好奇心,拆解五种主流沙箱方案的原理与取舍。 沙箱隔离是一个连续的梯度——从轻到重,隔离强度与资源开销同步增长:核心指标对比:方案隔离机制启动延迟内存/sandbox典型用户容器(Docker)namespace+cgroup~500ms几十MBPatchPal FirecrackerQEMU代码量~10万行~200万行虚拟设备仅6个(virtio-net/blk/balloon/vsock+串口+键盘控制器)完整硬件模拟启动时间<125ms秒级每VM内存开销~5MB Edge.js(Wasmer)采用了一种混合架构:JS引擎(V8/JSC/QuickJS)原生运行以保证性能,而操作系统调用和原生模块则通过WASIX(WasmPOSIX扩展)沙箱化隔离。 但更根本的变化是:AIAgent大规模执行代码这件事,正在把沙箱从"开发工具"变成"基础设施问题"。选错隔离方案的代价,不再是性能损耗,而是安全事故。这个领域的技术演进,远没有停止。
32100编辑于 2026-04-08- 来自专栏方球
qiankun proxySand 沙箱
qiankun 内为微应用实现了沙箱机制, 以实现js隔离的目的, 沙箱的重点在于初始化时对全局对象的copy 及代理 使用 const sand = new ProxySand(name) sand.active () // 启动 sand.inacitve() // 关闭 属性 name 沙箱名 type 沙箱类型 Proxy proxy沙箱 Snapshot LegacyProxy 旧沙箱实现 sandboxRunning 沙箱是否运行中 proxy 全局对象的proxy副本, 沙箱实体 active 启动沙箱 inactive 关闭沙箱 实现 沙箱的实现过程都在 constructor 实例的创建中 设置初始值 `); } // 在 strict-mode 下,Proxy 的 handler.set 返回 false 会抛出 TypeError,在沙箱卸载的情况下应该忽略错误 createElement可以知道是由哪个沙箱调用的动态追加补丁程序 if (p === 'document') { // 为document挂载代理对象
2.1K10发布于 2020-09-28 - 来自专栏AgenticAI
Claude Code带来沙箱隔离,减少84%中断确认请求同时,更高效更安全,还开源了
因此敌对在提升自主性和保障安全之间引入了沙箱机制! 这个沙箱主要包含两大隔离层面: - 文件系统隔离,模型及运行的进程只能访问修改特定目录与文件 - 网络隔离,仅允许访问被允许的主机与域名,防止下载恶意软件和上传敏感文件。 具体的沙箱应用主要有在cc中的sanboxed bash tool,和在cc on the web中。 在Anthropic的内部使用中,启用沙箱后弹出权限请求的频次 下降约 84%。
1K10编辑于 2025-11-29 - 来自专栏星回的实验室
JavaScript中的沙箱机制探秘:iFrame沙箱实现方案详解
而对于前端来说,让前端的第三方js代码能够从本质上产生隔离,并且让后端参与部分安全管控是最理想的状态。在这些方案中,在引擎层面制造隔离的iframe方案显然是最简单可行的。 HTML5带来的iframe的sandbox属性为iframe的安全机制提供了规范,在添加了sandbox属性后,默认将禁止iframe中的内容执行脚本、提交表单、访问本地文件、运行插件、导航等各种风险行为 现在,我们把沙箱运行的服务器和主站服务器(Host)放在不同的域下,由于跨域文档的隔离,Host与沙箱内部环境之间无法直接操作文档流,当沙箱内部需要向外发送HTTP请求或者从Host处获取用户信息时,我们便需要一套通信机制来解决问题 然而在一些情况下我们需要考虑向下兼容,在不同的窗体下由于文档流的隔离,可共享的东西并不多,这其中就包括url和window,通信方案也自然是从这上面做文章。 websocket是HTML5标准的API,它允许跨域通信,并且有一个很大的优势就是可以保持连接状态,实现两端实时交流。
5.3K10发布于 2018-08-02 - 来自专栏安恒网络空间安全讲武堂
IOSMacOS沙箱逃逸竞赛
因为 listio_lio系统调用可以从任何沙箱访问,并且由于漏洞提供了一些有趣的基本数据类型,LightSpeed可能会用于越狱iOS 11.4.1。 kalloc.16池中的分配(aioliocontext的大小)再次使用与aioliocontext相同的分配; 4.在分配的第二个双字值中写入零(来进行liocontext->ioissued == 0); 5. 实际上,由于alloc (kalloc16)的大小,空闲chunk最终总是会中毒(in zfree()),所以如果不重用分配,则在步骤5中liocontext->ioissued不能为零。 在步骤5之后,如果未保持分配,并且内核尝试释放它,则系统将发生混乱。 /* might have to play with those a bit */ #if MACOS_BUILD #define NB_LIO_LISTIO 1 #define NB_RACER 5
1.8K30发布于 2019-09-29 - 来自专栏全栈程序员必看
5g切片隔离原理_5G切片编排器
5G网络切片安全隔离机制与应用* 毛玉欣1,陈林2,游世林1,闫新成1,吴强1 【摘 要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。 针对5G网络架构重构、网络部署形态的变化,研究提出了网络切片端到端安全隔离的实现方法,包括切片在接入网络、承载网络和核心网络中的隔离实现。结合典型行业应用的要求,给出了定制化切片的隔离实现案例。 网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现,如图5所示。 根据应用对安全的需求,可提供物理隔离和逻辑隔离两种隔离方案。 差动保护业务通过 5G网络实现在两个 DTU之间交互,而配网自动化三遥业务由 DTU经过 5G网络流向业务主站,如图6所示。两类业务对外需要实现物理隔离,两类业务之间需要实现逻辑隔离。 目前, 5G网络处于商用部署的初始阶段, 5G网络切片的应用、部署、 5G网络与垂直行业应用的结合尚处于研究探索和试验阶段,对于网络切片安全隔离机制以及网络切片面临的其他潜在安全问题还需要不断深入研究和试验
1.5K20编辑于 2022-11-10 - 来自专栏CNCF
Antrea加入CNCF沙箱
今天,我们很高兴地宣布,CNCF TOC 已经接受 Antrea 作为沙箱项目。这对于刚刚发布 1.0 版本的 Project Antrea 来说是一个重要的里程碑。 我们有几个议题被标记为#goodfirstiissue 加入Kubernetes Slack[4],寻找#antrea 频道 每两周参加一次的Antrea 社区会议[5],时间是 UTC 星期二早上 5 ] Antrea Github: https://github.com/vmware-tanzu/antrea [4] Kubernetes Slack: http://slack.k8s.io/ [5]
1.3K20发布于 2021-05-27 - 来自专栏站长的编程笔记
java 安全沙箱模型详解
这对一些有安全隐患的类起到了安全隔离的作用。使它不能冒充系统类来破坏程序正常运作。 此外,不同的类装载器,也有自己的类装载范围。 结构化内存访问(不使用指针,一定程度上让黑客无法篡改内存数据) 自动垃圾收集 数组边界检查 空引用检查 数据类型安全 Java api的安全管理器 securityManager 这是安全沙箱中,离我们程序员最接近的一环
1K40编辑于 2022-11-28 - 来自专栏HarmonyOS NEXT实战
HarmonyOS NEXT实战:沙箱工具
##HarmonyOS Next实战##HarmonyOS SDK应用服务##教育##目标:封装沙箱工具,通过沙箱工具保存文件到沙箱中和清除沙箱文件。 知识点:使用该功能模块对文件/目录进行操作前,需要先获取其应用沙箱路径,获取方式及其接口:getContext().cacheDirfs:使用该功能模块对文件/目录进行操作前,需要先获取其应用沙箱路径。 表示沙箱路径的字符串称为path,获取方式及其接口用法请参考:应用上下文Context-获取应用文件路径。将指向资源的字符串称为URI。 : number): Promise<File>path:文件的应用沙箱路径或文件URI。 沙箱地址 */ async saveToSandbox(src: string): Promise<string> { let sandboxUri: string = '' for
24800编辑于 2025-06-25 - 来自专栏bisal的个人杂货铺
TiDB沙箱环境初体验
TiDB提供的这种沙箱环境,好处就是跳过了安装过程,直接让你有一个可以体验的TiDB环境,而且提供了免费的云资源,虽然因为服务器的物理位置,操作上可能延迟,但这毕竟是免费的云资源,还要什么自行车?
94920编辑于 2022-10-04 - 来自专栏Gamma安全实验室
初探Chrome沙箱逃逸
初探Chrome沙箱逃逸 1 Background ? Chrome Security Architecture 众所周知沙箱是Chrome重要的安全机制,有沙箱就意味着v8、音视频解码等等渲染层的漏洞不能直接打到host上,所以我们想要pwn Chrome 至少要两个漏洞,沙箱进程的rce和沙箱逃逸。 https://mem2019.github.io/jekyll/update/2020/07/03/TCTF-Chromium-SBX.html https://gist.github.com/ujin5/ 5b9a2ce2ffaf8f4222fe7381f792cb38 https://docs.google.com/drawings/d/1TuECFL9K7J5q5UePJLC-YH3satvb1RrjLRH-tW_VKeE
3.4K20发布于 2020-12-23 - 来自专栏腾讯IVWEB团队的专栏
动手写 js 沙箱
接下来,我们来一步一步分析,如果做到在前端的沙箱.文末 看俺有没有心情放一个彩蛋吧。 不能创建新的弹窗和window, 比如window.open or target="_blank" 5. 不能发送表单 6. 不能加载额外插件比如flash等 7. 不能执行自动播放的tricky. ROCK 常用的两种沙箱模式这里差不多讲解完了. 开头说了文末有个彩蛋,这个彩蛋就是使用nodeJS来做一下沙箱. 比如像 牛客网的代码验证,就是放在后端去做代码的沙箱验证. 彩蛋--nodeJS沙箱 使用nodeJS的沙箱很简单,就是使用nodeJS提供的VM Module即可.
3.2K01发布于 2017-07-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号