- 综合排序
- 最热优先
- 最新优先
- 来自专栏运维民工
ubuntu 20.04如何沙箱化systemd服务
这里我们使用vncserver systemd服务来做演示,这里的vncserver systemd配置如下 [Unit] Description=Remote desktop service (VNC ExecStop=/bin/bash -c '/usr/bin/vncserver -kill ":$(id -u %i)"' [Install] WantedBy=graphical.target 将上述的进程沙箱化的话我们可以执行下述步骤 禁止服务进程及其子进程获取新的权限 NoNewPrivileges=true 3. 阻止进程获取内核变量 ProtectKernelTunables=true 4.
73800编辑于 2023-02-22 - 来自专栏前端杂货铺
沙箱
因此,可以采用一种 沙箱模式来管理我们的代码。 该模式创建了一个新的环境变量,所有的变量在该环境内可访问,环境外不可访问(前提是不隐式声明 全局变量如 a=123)。 具体的沙箱模式可以这样实现: 1 function Sandbox(){ 2 if(!
1.8K40发布于 2018-03-15 - 来自专栏前端博客
再谈沙箱:前端所涉及的沙箱细讲
更严重的是,它切断了JavaScript与Web服务器上所有内容的联系,例如存储用户列表和产品目录的数据库以及运行业务逻辑的服务器端代码。 JS中沙箱的使用场景前端JS中也会有应用到沙箱的时候,毕竟有时候你要获取到的是第三方的JS文件或数据?而这数据又是不一定可信的时候,创建沙箱,做好保险工作尤为重要。 jsonp:解析服务器所返回的jsonp请求时,如果不信任jsonp中的数据,可以通过创建沙箱的方式来解析获取数据;(TSW中处理jsonp请求时,创建沙箱来处理和解析数据);、执行第三方js:当你有必要执行第三方 /s/newvue的服务端渲染:vue的服务端渲染实现中,通过创建沙箱执行前端的bundle文件;在调用createBundleRenderer方法时候,允许配置runInNewContext为true 当你调用postMessageAPI传递数据给子页面的时候,传输的数据对象本身已经通过结构化克隆算法复制借助立即执行函数或闭包函数// jQuery当中的沙箱模式(function (win) {//
2.4K10编辑于 2023-05-07 - 来自专栏coding个人笔记
js沙箱
沙箱主要是一种安全机制,把一些不信任的代码运行在沙箱之内,不能访问沙箱之外的代码。比如在线编辑器、执行第三方js、vue服务端渲染等,只要是运行不信任的程序,沙箱隔离就会使用到。 而es6的proxy则可以解决这个问题,proxy可以设置访问拦截器,于是with再加上proxy几乎完美解决js沙箱机制。 这是目前js沙箱能做到的最好的沙箱机制了,很多会再加上iframe去做更多的限制,因为H5提出了iframe的sandbox属性,限制了更多,也可以进行配置解决这些限制。当然,想要绕过方法还是有的。 而nodejs沙箱就很简单了,直接用内部提供的VM Module就可以了。感兴趣可以自己去查一查。 其实沙箱问题很多,解决修复这些方法也很多,感觉就是一堆大佬在博弈。 这边想提一嘴,微前端概念其实就是用js创造一个类似iframe的沙箱,解决隔离问题,分别运行各个项目。所以现在沙箱使用也不一定都是安全机制,也会因为功能需求使用。常见的有快照沙箱和proxy沙箱。
1.5K20发布于 2020-08-28 - 来自专栏云原生技术社区
服务网格项目Aeraki Mesh正式进入CNCF沙箱
被纳入 CNCF 托管,也意味着 Aeraki Mesh 成为云原生生态认可的,构建服务网格技术领域最佳实践的重要项目。 Istio 目前已经基本成为云原生服务网格领域的事实标准,但在流量管理和服务治理能力上,仍存在优化的空间。 Aeraki Mesh 致力于解决目前的服务网格内的项目只满足 HTTP/gRPC 协定,不反对其余开源及公有协定的痛点,提供和 Istio API 完全兼容的管理服务,帮助用户以较小的迁移成本和维护代价 ,快速获得服务网格提供的流量管理和服务治理能力,从而充分释放服务网格为云原生基础设施提供的效能。 Aeraki Mesh 可看做一个非侵入式 Istio 功能增强工具集,用户可以在服务网格中管理任何七层协议。
48330编辑于 2022-08-11 - 来自专栏方球
qiankun proxySand 沙箱
qiankun 内为微应用实现了沙箱机制, 以实现js隔离的目的, 沙箱的重点在于初始化时对全局对象的copy 及代理 使用 const sand = new ProxySand(name) sand.active () // 启动 sand.inacitve() // 关闭 属性 name 沙箱名 type 沙箱类型 Proxy proxy沙箱 Snapshot LegacyProxy 旧沙箱实现 sandboxRunning 沙箱是否运行中 proxy 全局对象的proxy副本, 沙箱实体 active 启动沙箱 inactive 关闭沙箱 实现 沙箱的实现过程都在 constructor 实例的创建中 设置初始值 `); } // 在 strict-mode 下,Proxy 的 handler.set 返回 false 会抛出 TypeError,在沙箱卸载的情况下应该忽略错误 createElement可以知道是由哪个沙箱调用的动态追加补丁程序 if (p === 'document') { // 为document挂载代理对象
2.1K10发布于 2020-09-28 - 来自专栏FreeBuf
自动化沙箱打造之“关于XShell我有话说”
先看看自动化沙箱的其中一个功能吧,沙箱不太完善,最近在修改中,先看看结果吧。 ? 详细实现步骤 第一步:沙箱客户端的功能之一 基于wpcap开发了一个抓dns包的工具 打开这个工具 ? 第二步:运行特定软件 我这里选择xshell,蹭蹭热度 //2017.8月份的 ? 第三步:工具会给域名提交到沙箱网站上,看数据库设计 ? 第四步:当查看沙箱网站首页的时候,调用域名查询接口,这里我是调用阿里云的dns查询接口 ?
96960发布于 2018-03-01 - 来自专栏星回的实验室
JavaScript中的沙箱机制探秘:iFrame沙箱实现方案详解
现在,我们把沙箱运行的服务器和主站服务器(Host)放在不同的域下,由于跨域文档的隔离,Host与沙箱内部环境之间无法直接操作文档流,当沙箱内部需要向外发送HTTP请求或者从Host处获取用户信息时,我们便需要一套通信机制来解决问题 height="800px" sandbox="allow-scripts allow-same-origin" frameborder="0"></iframe> </body> </html> 搭建沙箱服务器 Host服务器搭建完成,这时我们在不同的端口上再搭建一个沙箱服务器以容纳第三方应用,nodejs代码同上。 沙箱服务器运行在8082端口,还包括一个测试secret key接收的app。接着修改Host的首页,添加如下代码: <! 同样,这里并未做更多验证,消息流的格式也需要规范化。
5.3K10发布于 2018-08-02 - 来自专栏安恒网络空间安全讲武堂
IOSMacOS沙箱逃逸竞赛
因为 listio_lio系统调用可以从任何沙箱访问,并且由于漏洞提供了一些有趣的基本数据类型,LightSpeed可能会用于越狱iOS 11.4.1。
1.8K30发布于 2019-09-29 - 来自专栏CNCF
Antrea加入CNCF沙箱
今天,我们很高兴地宣布,CNCF TOC 已经接受 Antrea 作为沙箱项目。这对于刚刚发布 1.0 版本的 Project Antrea 来说是一个重要的里程碑。
1.2K20发布于 2021-05-27 - 来自专栏站长的编程笔记
java 安全沙箱模型详解
结构化内存访问(不使用指针,一定程度上让黑客无法篡改内存数据) 自动垃圾收集 数组边界检查 空引用检查 数据类型安全 Java api的安全管理器 securityManager 这是安全沙箱中,离我们程序员最接近的一环
1K40编辑于 2022-11-28 - 来自专栏bisal的个人杂货铺
TiDB沙箱环境初体验
最近接触了国产数据库领域中很火的TiDB数据库,先不说技术层面,给我印象最深的,就是他的培训和文档支持体系,非常系统和全面,这和传统巨头Oracle的服务支持路径很像。 而文档体系,无论是从覆盖面,还是检索找问题的路径,都是非常方便,能给我这种初学者自助服务的体验,但是Oracle是可以将整个docs下载到本地,脱网阅读,但TiDB,我没找到整体下载的链接,只是每张页面 securCRT或者putty, 还可以从控制台找到登录指令, 通过本机终端或者其他云主机作为跳板,利用MySQL Client软件,远程登录到TiDB,前提是能访问互联网, 当然,通过其他一些图形化的客户端 TiDB提供的这种沙箱环境,好处就是跳过了安装过程,直接让你有一个可以体验的TiDB环境,而且提供了免费的云资源,虽然因为服务器的物理位置,操作上可能延迟,但这毕竟是免费的云资源,还要什么自行车?
94720编辑于 2022-10-04 - 来自专栏HarmonyOS NEXT实战
HarmonyOS NEXT实战:沙箱工具
##HarmonyOS Next实战##HarmonyOS SDK应用服务##教育##目标:封装沙箱工具,通过沙箱工具保存文件到沙箱中和清除沙箱文件。 知识点:使用该功能模块对文件/目录进行操作前,需要先获取其应用沙箱路径,获取方式及其接口:getContext().cacheDirfs:使用该功能模块对文件/目录进行操作前,需要先获取其应用沙箱路径。 表示沙箱路径的字符串称为path,获取方式及其接口用法请参考:应用上下文Context-获取应用文件路径。将指向资源的字符串称为URI。 : number): Promise<File>path:文件的应用沙箱路径或文件URI。 沙箱地址 */ async saveToSandbox(src: string): Promise<string> { let sandboxUri: string = '' for
23900编辑于 2025-06-25 - 来自专栏腾讯IVWEB团队的专栏
动手写 js 沙箱
本文作者:ivweb villainthr 市面上现在流行两种沙箱模式,一种是使用iframe,还有一种是直接在页面上使用new Function + eval进行执行。 接下来,我们来一步一步分析,如果做到在前端的沙箱.文末 看俺有没有心情放一个彩蛋吧。 message, targetOrigin, [transfer]); message是传递的信息,targetOrigin指定的窗口内容,transfer取值为Boolean 表示是否可以用来对obj进行序列化, 开头说了文末有个彩蛋,这个彩蛋就是使用nodeJS来做一下沙箱. 比如像 牛客网的代码验证,就是放在后端去做代码的沙箱验证. 彩蛋--nodeJS沙箱 使用nodeJS的沙箱很简单,就是使用nodeJS提供的VM Module即可.
3.2K01发布于 2017-07-18 - 来自专栏Gamma安全实验室
初探Chrome沙箱逃逸
初探Chrome沙箱逃逸 1 Background ? Chrome Security Architecture 众所周知沙箱是Chrome重要的安全机制,有沙箱就意味着v8、音视频解码等等渲染层的漏洞不能直接打到host上,所以我们想要pwn Chrome 至少要两个漏洞,沙箱进程的rce和沙箱逃逸。 目前来看无论是CTF还是Real World中,利用Mojo进行Chrome沙箱逃逸都很常见。 2 0CTF/TCTF2020 Quals ChromiumSBX ? 来看这个例子。 除了Mojo,Android Binder的CVE-2020-0041,Windows内核的CVE-2020-0981等这种也可以被用来逃逸Chrome沙箱。 3 参考链接 ?
3.4K20发布于 2020-12-23 - 来自专栏小程序类
安全沙箱怎样在企业数字化里发挥作用
随着企业数字化转型的深入,网络接入模式也更加多元化,移动办公、远程接入、云服务等场景在后疫情时代成为新常态! 例如能模拟出一整台服务器或者桌面电脑的虚拟机,应该能称之为安全沙箱 - 你可以在里面跑企业服务、也可以在里面打游戏,并不能影响宿主的安全稳定运行,你也可以把这个虚拟机一键删除,不管里面安装了什么东西。 这就是计算机世界的沙箱。数字化的发展,“隔离”是硬道理,只是隔离粒度不同,有云端“租户”之间的隔离、虚拟服务器的隔离、网络间微隔离、进程间隔离、乃至小小一个手机上一段代码(例如一个小程序)的隔离。 安全沙箱在企业数字化的应用空讲“数字化转型”无用,它怎么“落地变现”呢?“转型”后的企业的形态是怎样的呢? 都得被安全沙箱关着才能运行企业的一切业务内容,表现方式就是软件化代码化。
74940编辑于 2022-10-26 - 来自专栏Fin
不懂安全沙箱?看这篇!
在本文中,我们将探讨安全沙箱技术的原理、小程序安全沙箱技术与原生安全沙箱技术的优劣势对比,以及如何评估应用程序的安全性。一、什么是安全沙箱技术? Docker安全沙箱:由Docker公司提供,可以通过容器化技术创建一个隔离的运行环境,在其中运行不受信任的应用程序或进程。 市面上一些比较知名的小程序容器技术产品包括:微信、支付宝、百度、抖音小程序等,他们都是以完善大社交平台自有小程序生态的技术底座,能提供第三方进行私有化部署的有:FinClip、mPaaS等产品。 与此同时,所配备的应用管理后台还能够让企业自行管理自己的、或者第三方的生态小程序应用,真正实现企业跨设备、多空间的穿透和接力,随时随地获得数字内容与服务。 四、小程序安全沙箱技术,相比于Apple iOS安全沙箱的优劣势 小程序安全沙箱技术和Apple iOS安全沙箱技术都是为了保护用户隐私和系统安全而采用的一种安全机制,但是它们也有各自的优劣势。
1.4K00编辑于 2023-04-18 - 来自专栏前端博客
微前端学习笔记(3):前端沙箱之JavaScript的sandbox(沙盒沙箱)
作为开发人员,我们经常会同沙箱环境打交道,例如,服务器中使用 Docker 创建应用容器;使用 Codesandbox运行 Demo示例;在程序中创建沙箱执行动态脚本等。 这个是腾讯的无界沙箱模式。 allow-popups-to-escape-sandbox: 允许沙箱文档打开新窗口,并且不强制要求新窗口设置沙箱标记。 WebWorker 中由于不能操作 DOM,独立的线程作为天然的沙箱环境而被其他开发者很少提及,但是看腾讯的无界方案,个人觉得用WebWorker来做沙箱还是非常不错的! 沙箱逃逸的几种方式:访问沙箱执行上下文中某个对象内部属性时,如:通过window.parent利用沙箱执行上下文中对象的某个内部属性,Proxy 只可以拦截对象的一级属性,例如下面的上下文对象通过访问原型链实现逃逸
3.6K21编辑于 2024-06-06 - 来自专栏伪架构师
(译)Buildpacks 进入 CNCF 沙箱
今天 Pivotal、Salesforce Heroku 和 CNCF 联合宣布,云原生 Buildpacks 技术被接纳为 CNCF 沙箱项目。 多年以来 Salesforce Heroku 以及 Cloud Foundry 用户在 Buildpacks 的支持下,能够在不间断服务的情况下对应用及其依赖进行构建、打包和更新,让开发人员可以更加专注的在代码上投入精力
1.7K20发布于 2019-07-23 - 来自专栏架构
SpringBoot + 规则执行沙箱 + 超时熔断:防止脚本死循环拖垮整个服务
SpringBoot+规则执行沙箱+超时熔断:防止脚本死循环拖垮整个服务在后端服务开发中,动态规则执行是一个非常常见的场景——比如风控规则、定价规则、流程跳转规则等。 本文将分享一套基于SpringBoot的解决方案:通过「规则执行沙箱」实现脚本与主服务的隔离,结合「超时熔断机制」强制中断异常脚本,双重保障服务稳定性,彻底解决脚本异常拖垮服务的问题。 查看日志:沙箱抛出超时异常,Resilience4j触发熔断,死循环脚本被强制中断,沙箱线程池线程正常释放。服务状态:主服务线程池无占用,接口可正常接收其他请求,服务稳定。 监控指标:通过Resilience4j的监控功能,收集熔断状态、失败率、超时次数等指标;通过Prometheus+Grafana可视化监控,设置告警(如熔断触发、沙箱线程池满)。 本文提出的「SpringBoot+规则执行沙箱+超时熔断」方案,通过分层隔离、双重兜底,完美解决了这一痛点:沙箱隔离:实现脚本与主服务的线程、类加载、资源隔离,防止脚本异常影响主服务。
12210编辑于 2026-02-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号