JavaScript沙箱是限制第三方代码权限的隔离环境,核心目标是控制其行为而非完全阻止执行,需从全局对象、函数调用、作用域和资源访问四维度隔离,常见方案包括Web Worker、iframe sandbox、vm2及Proxy轻量沙箱,配置不当仍可能被绕过。
JavaScript沙箱是一种隔离环境,用来限制第三方代码的执行权限,防止它读取敏感数据、修改全局状态或发起恶意网络请求。核心目标不是“完全阻止执行”,而是“控制能做什么”。
沙箱的关键隔离维度
一个有效的沙箱需从多个层面切断不受信代码与宿主环境的联系:
-
全局对象隔离:不直接暴露
window、document、localStorage等原生对象,而是提供精简、只读(或受控可写)的代理对象 -
函数调用拦截:重写或屏蔽危险方法,如
eval、Function构造器、setTimeout、fetch,或通过 Proxy 拦截其调用行为 -
作用域限制:在独立的
with块、新创建的函数作用域,或vm.Script(Node.js)中运行,避免污染全局变量 - 资源访问管控:禁止 DOM 操作、禁止文件系统访问(Node)、限制网络请求(如仅允许白名单域名)
常见实现方式及适用场景
没有“银弹”方案,选择取决于运行环境和安全等级要求:
-
Web Worker + MessageChannel:将第三方代码放入 Worker 中执行,主页面仅通过
postMessage通信。Worker 默认无 DOM 访问权,天然隔离,适合计算类脚本(如公式解析、数据转换) -
iframe 沙箱属性:
<iframe sandbox="allow-scripts" srcdoc="<script>...</script>">。浏览器原生支持,禁用插件、表单提交、弹窗等,默认无window.parent访问。注意:仍可访问自身document,需配合srcdoc或空src避免跨域泄露 -
vm2(Node.js):比原生
vm模块更安全的第三方库,支持上下文隔离、超时中断、内置 API 白名单控制。适用于服务端模板渲染、规则引擎等场景 -
基于 Proxy 的轻量沙箱:用
new Function创建执行函数,再用 Proxy 包裹全局对象模拟受限环境。适合简单表达式求值(如条件判断、数学运算),但无法防御原型污染或eval绕过,慎用于高危场景
容易被忽略的安全细节
即使用了沙箱,配置不当仍可能被绕过:
立即学习“Java免费学习笔记(深入)”;
-
不要直接传入原始对象引用:比如把
JSON或Array.prototype整个挂进沙箱上下文,攻击者可通过{}.constructor.constructor('return process')()尝试逃逸(尤其 Node 环境) -
禁用
with语句和__proto__访问:它们是常见的原型链污染入口,影响沙箱内所有对象行为 -
限制执行时间与内存:死循环或大数组构造可能拖垮进程。Node 中可用
vm.Script#runInContext配合timeout;浏览器中可用Worker的terminate()强制结束 -
沙箱输出也要校验:即使输入被限制,返回结果(如生成的 HTML 字符串)仍可能含 XSS 片段,需二次过滤或使用
textContent渲染
不推荐的做法
这些方式看似简单,实际极不安全,应明确避免:
- 用
eval()或new Function()直接执行字符串代码(无任何上下文隔离) - 仅靠字符串替换(如删掉
function、alert)来“过滤”代码——正则无法覆盖 JS 语法全部变体 - 信任
iframe的sandbox属性却未设allow-scripts以外的限制,或错误地赋予allow-same-origin - 在浏览器中使用
vm模块(Node.js 专用,浏览器不可用,且本身不防逃逸)
