我正在构建一个沙盒duktape应用程序。 sanboxing doc(https://github.com/svaarala/duktape/blob/master/doc/sandboxing.rst)建议删除默认的require()实现。我不清楚为什么这是必要的。似乎require()依赖于modSearch()来确定要加载哪些代码以及从哪里加载。如果modSearch()不允许从沙盒中不允许的任何地方加载数据,那么还有什么关于默认的require()实现是不安全的还是会引起警惕?
答案 0 :(得分:3)
建议强调默认的require()不一定是沙箱安全的(即使当前的实现是),所以最好在对可能不受信任的代码进行沙盒处理时替换它(至少如果代码可以是积极恶意,而不仅仅是意外破坏。)
那说我现在不知道任何具体问题。