gpt4 book ai didi

javascript - 有没有办法在 Javascript 中入狱,以便 DOM 不可见

转载 作者:可可西里 更新时间:2023-11-01 02:53:53 26 4
gpt4 key购买 nike

我真的很想为用户提供一些脚本功能,同时不让他们访问更强大的功能,比如改变 DOM。也就是说,所有输入/输出都通过给定接口(interface)进行隧道传输。就像一种受限制的 javacsript。

例子:如果接口(interface)是checkanswer(func)这是允许的:

checkanswer( function (x,y)={
return x+y;
}

但是这些是不允许的:
<罢工> alert(1)
document.write("hello world")
eval("alert()")

编辑:我想到的是一种使用 javascript 实现的简单语言,类似于 http://stevehanov.ca/blog/index.php?id=92

最佳答案

(编辑 这个答案与你的预编辑问题有关。不知道有没有使用 Javascript 实现的脚本语言,尽管我预计会有一些。例如,有一次有人写了 BASIC对于 Javascript(曾经有一个链接,但它已经腐烂)。因此,这个答案的其余部分非常学术,但我将其保留只是为了讨论、说明,甚至是出于警示目的。另外,我绝对同意 bobince's points — 不要自己做,使用他人的作品,例如 Caja 。)

如果您允许在用户生成的内容中编写任何脚本,请做好准备,因为您将进入一场军备竞赛,人们会在您的保护机制中寻找漏洞并加以利用,然后您会对这些漏洞做出响应。我想我可能会回避它,但你知道你的社区和你处理虐待的选择。因此,如果您为此做好了准备:

由于 Javascript 执行符号解析的方式,似乎应该可以在 windowdocumentActiveXObject 的上下文中评估脚本XMLHttpRequest 和类似内容没有它们通常的含义:

// Define the scoper
var Scoper = (function() {
var rv = {};

rv.scope = function(codeString) {
var window,
document,
ActiveXObject,
XMLHttpRequest,
alert,
setTimeout,
setInterval,
clearTimeout,
clearInterval,
Function,
arguments;
// etc., etc., etc.

// Just declaring `arguments` doesn't work (which makes
// sense, actually), but overwriting it does
arguments = undefined;

// Execute the code; still probably pretty unsafe!
eval(codeString);
};

return rv;;
})();

// Usage:
Scoper.scope(codeString);

(现在使用了邪恶的 eval,但我无法立即想到一种不使用 eval 来跨浏览器隐藏默认对象的方法,如果你无论如何都以文本形式接收代码...)

但它不起作用,它只是部分解决方案(更多内容见下文)。那里的逻辑是,在 codeString 中的代码中访问 window(例如)的任何尝试都将访问局部变量 window,而不是全局变量;其他人也一样。不幸的是,由于符号的解析方式,可以使用或不使用 window. 前缀访问 window 的任何属性(例如,alert ), 所以你也必须列出这些。这可能是一个很长的列表,尤其是因为 bobince指出,IE 会将任何具有名称或 ID 的 DOM 元素转储到 window 上。因此,您可能必须将所有这些都放在它自己的 iframe 中,这样您就可以围绕那个问题进行最终运行,并且“只”必须处理标准的东西。另请注意我是如何使 scope 函数成为一个对象的属性,然后您通过该属性调用它。这就是 this 被设置为 Scoper 实例(否则,在原始函数调用中,this 默认为 window!).

但是,正如 bobince 指出的那样,处理事情的方式有很多种。例如,codeString 中的这段代码成功地打破了上面的 jail :

(new ('hello'.constructor.constructor)('alert("hello from global");'))()

现在,也许您可以更新 jail 以使特定的漏洞利用无效(使用所有的 constructor 属性 - all - 内置对象),但我倾向于怀疑它。如果你可以,某人(比如 Bob)就会想出一个新的漏洞,就像这个:

(function(){return this;})().alert("hello again from global!");

因此出现了“军备竞赛”。

做到这一点的唯一真正彻底的方法是在您的站点中内置一个适当的 Javascript 解析器,解析他们的代码并检查非法访问,然后才让代码运行。这是很多工作,但如果您的用例证明它是合理的...

关于javascript - 有没有办法在 Javascript 中入狱,以便 DOM 不可见,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2673695/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com