我可以使用 WebAssembly 在我的 Web 应用程序中安全地执行不受信任的用户代码吗?
Can I use WebAssembly to safely execute untrusted user code within my web app?
在我正在构建的 Web 应用程序中,我需要在应用程序内(在浏览器中)执行不受信任的用户代码。不受信任的代码从 Javascript 中得到一个字符串,并且应该执行它的操作并生成一个新字符串。所以我想确保它不能做任何 IO,比如修改 DOM、发出 HTTP 请求或访问本地缓存。明确地说,一个用户会上传一些不受信任的代码,这些代码将在其他用户的浏览器中执行。
我显然不想 运行 一些 Javascript 使用 eval,因为那可以做任何事情。我的想法是用户可以上传一些使用 Emscripten 和 C 或 Rust 或其他任何东西创建的 WebAssembly。 Javascript 会初始化一个包含输入字符串的内存缓冲区,WebAssembly 会读取它,然后将其输出写回缓冲区,然后可以在 JS 中使用。
Webassembly spec 是这么说的:
WebAssembly provides no ambient access to the computing environment in which code is executed. Any interaction with the environment, such as I/O, access to resources, or operating system calls, can only be performed by invoking functions provided by the embedder and imported into a WebAssembly module. An embedder can establish security policies suitable for a respective environment by controlling or limiting which functional capabilities it makes available for import. Such considerations are an embedder’s responsibility and the subject of API
definitions for a specific environment.
我的理解是 WebAssembly 保证它只能做危险的事情,如果我在初始化模块时显式地传递它们,我当然不会这样做。
所以我的问题是:在这种情况下,是否有人可以编写一些可以执行某些 IO 的 WASM 代码?或者其他任何讨厌的事情?
WASM 安全模型非常强大,除非您明确声明,否则不会有 IO 访问权限。 WASM 不是 JS 运行时引擎,所以它不会执行 JS。 WASM 没有 DOM 访问权限,所以你在那里很安全。希望其他人可以插话谁可以提供更详细的解释。
是的,您可以将 JavaScript 虚拟机编译为 WebAssembly 以执行不受信任的用户代码。 WebAssembly 没有内置 I/O,因此您可以 运行 以完全不会造成任何伤害的方式编写代码。出于实际目的,您需要提供一个安全的 API 代码可以使用它来执行任何有用的功能。在您的情况下,这听起来很简单 - 您的 API 只允许交换字符串。
但是,还有一些更简单的替代方案 - 请参阅 Figma 的这篇优秀博客 post,其中专门讨论了这一点:
https://www.figma.com/blog/how-we-built-the-figma-plugin-system/
它还讨论了各种其他有用的选项,例如领域。
在我正在构建的 Web 应用程序中,我需要在应用程序内(在浏览器中)执行不受信任的用户代码。不受信任的代码从 Javascript 中得到一个字符串,并且应该执行它的操作并生成一个新字符串。所以我想确保它不能做任何 IO,比如修改 DOM、发出 HTTP 请求或访问本地缓存。明确地说,一个用户会上传一些不受信任的代码,这些代码将在其他用户的浏览器中执行。
我显然不想 运行 一些 Javascript 使用 eval,因为那可以做任何事情。我的想法是用户可以上传一些使用 Emscripten 和 C 或 Rust 或其他任何东西创建的 WebAssembly。 Javascript 会初始化一个包含输入字符串的内存缓冲区,WebAssembly 会读取它,然后将其输出写回缓冲区,然后可以在 JS 中使用。
Webassembly spec 是这么说的:
WebAssembly provides no ambient access to the computing environment in which code is executed. Any interaction with the environment, such as I/O, access to resources, or operating system calls, can only be performed by invoking functions provided by the embedder and imported into a WebAssembly module. An embedder can establish security policies suitable for a respective environment by controlling or limiting which functional capabilities it makes available for import. Such considerations are an embedder’s responsibility and the subject of API definitions for a specific environment.
我的理解是 WebAssembly 保证它只能做危险的事情,如果我在初始化模块时显式地传递它们,我当然不会这样做。
所以我的问题是:在这种情况下,是否有人可以编写一些可以执行某些 IO 的 WASM 代码?或者其他任何讨厌的事情?
WASM 安全模型非常强大,除非您明确声明,否则不会有 IO 访问权限。 WASM 不是 JS 运行时引擎,所以它不会执行 JS。 WASM 没有 DOM 访问权限,所以你在那里很安全。希望其他人可以插话谁可以提供更详细的解释。
是的,您可以将 JavaScript 虚拟机编译为 WebAssembly 以执行不受信任的用户代码。 WebAssembly 没有内置 I/O,因此您可以 运行 以完全不会造成任何伤害的方式编写代码。出于实际目的,您需要提供一个安全的 API 代码可以使用它来执行任何有用的功能。在您的情况下,这听起来很简单 - 您的 API 只允许交换字符串。
但是,还有一些更简单的替代方案 - 请参阅 Figma 的这篇优秀博客 post,其中专门讨论了这一点:
https://www.figma.com/blog/how-we-built-the-figma-plugin-system/
它还讨论了各种其他有用的选项,例如领域。