我是V8的新手并计划在python Web应用程序中使用它。目的是让用户提交和执行某些JS脚本。显然这是一个安全威胁,所以我正在寻找资源来记录人们可能“锁定”v8的方式。例如,我可以创建一个允许调用的白名单吗?或者不允许引用黑名单库?
答案 0 :(得分:1)
如果你使用普通的V8(即不像node.js那样),就不会有任何危险的功能。 JavaScript本身没有包含文件系统函数等的stdlib。
恶意用户唯一能做的就是创建无限循环,深度递归和内存耗尽。
答案 1 :(得分:0)
只是简单地锁定V8实例(即:在chroot中没有权限)并且如果在一段时间后没有工作就没有返回,则终止进程?