私はV8を初めて使用し、PythonWebアプリケーションで使用する予定です。目的は、ユーザーが特定のJSスクリプトを送信して実行できるようにすることです。明らかにこれはセキュリティ上の脅威であるため、v8を「ロックダウン」する方法を文書化したリソースを探しています。たとえば、呼び出すことができる関数のホワイトリストを作成できますか?または、参照を許可されていないライブラリのブラックリスト?
2 に答える
1
プレーンな V8 (つまり、node.js のようなものではない) を使用する場合、危険な機能はありません。JavaScript 自体には、ファイルシステム関数などを含む stdlib がありません。
悪意のあるユーザーができる唯一のことは、無限ループ、深い再帰、およびメモリ ホグを作成することです。
于 2012-03-20T23:49:28.120 に答える
0
V8 インスタンスを単純にロックダウンし (つまり、chroot でアクセス許可を与えない)、プロセスが一定時間経過しても戻らない場合はプロセスを強制終了しますか?
于 2012-03-20T23:28:52.993 に答える