2012-03-19 9 views
6

私はV8を初めて使い、Python Webアプリケーションで使用する予定です。目的は、ユーザーが特定のJSスクリプトを実行して実行できるようにすることです。明らかにこれはセキュリティ上の脅威なので、v8をロックダウンする方法を文書化しているリソースを探しています。たとえば、呼び出せる関数のホワイトリストを作成できますか?または、参照できないライブラリのブラックリスト?V8を「ロックダウン」する方法は?

+0

なぜ彼らはPythonスクリプトを提出できないのですか?これはあなたのアーキテクチャを単純化すると思います。 :-)(それを言及しなければならなかった)。そして、はい、それらのスクリプトのための安全なPythonサンドボックスを作成することが可能です – Kos

+0

@Kosどのように?私も興味を持っていますが、私はどこでもPythonが手ほどきできないと読んでいます。 – slezica

答えて

0

V8インスタンスを単にロックする(つまり、chrootでパーミッションを与えない)と、一定時間が経過してもプロセスが終了しない場合はプロセスを終了させますか?

1

プレーンなV8(つまりnode.jsのようなもの)を使用していない場合、危険な機能はありません。 JavaScript自体には、ファイルシステム関数などを含むstdlibはありません。

悪意のあるユーザーが行うことができる唯一の事は、無限ループ、深い再帰およびメモリ豚の作成です。

+0

後悔して申し訳ありませんが、私もこれに興味があります。ユーザーがメモリ/処理クォータを超えないようにするにはどうすればよいですか? – slezica

+0

いいえ、考えられません。このために[新しい質問を投稿](http://stackoverflow.com/questions/ask)してください。 – ThiefMaster

+0

私はちょうどこれに関する新しい質問を投稿しました:http://stackoverflow.com/questions/11637075/how-do-i-prevent-malicious-javascript-in-v8-with-python – Gattster

関連する問題