Какой самый безопасный способ разрешить выполнение JavaScript, написанного на клиенте, на сервере?

Question

Какой самый безопасный способ разрешить выполнение JavaScript, написанного на клиенте, на сервере?

Я хотел бы позволить нашим пользователям писать логику синтаксического анализа строк в JavaScript, которая затем будет выполняться на сервере.

Изменить (подробнее):

Regex не вариант, так как они будут нужны if, else, switch так далее
Я хотел бы избежать создания собственного языка
Идея в том, что если пользователь знает JS, он может написать собственную логику.

Я посмотрел " Остановка бесконечных циклов" с помощью CodePen, где они генерируют абстрактное синтаксическое дерево с использованием Esprima, а затем восстанавливают JavaScript, который мы используем Escodegen. Что меня беспокоит, так это то, что кто-то еще может внедрить какой-нибудь хакер Unicode.

1

javascript node.js abstract-syntax-tree esprima escodegen

Источник

user443431 11 окт '18 в 08:11

2 ответа

Другие вопросы по тегам javascript node.js abstract-syntax-tree esprima escodegen

user989121 11 окт '18 в 09:39 2018-10-11 09:39 · Answer 1 · 2018-10-11 09:39

Самый безопасный способ - создать собственный синтаксический анализатор / интерпретатор для некоторого подмножества javascript (или любого другого языка сценариев) или для своего собственного домена. Это большая работа, но все же намного проще и безопаснее, чем поддерживать изолированную виртуальную машину javascript на сервере и взаимодействовать с ней.

user3522957 11 окт '18 в 11:02 2018-10-11 11:02 · Answer 2 · 2018-10-11 11:02

Идея:

пользователи пишут свои пользовательские функции на веб-странице
веб-страница получает данные с сервера
пользовательская функция применяется к данным на стороне клиента
результаты отправляются обратно на сервер (убедитесь, что результаты не скомпрометированы)