Безопасен ли "require()" в песочнице?

Question

Безопасен ли "require()" в песочнице?

Я создаю приложение-дуктапу в песочнице. Документ sanboxing ( https://github.com/svaarala/duktape/blob/master/doc/sandboxing.rst) советует удалить реализацию require() по умолчанию. Мне не понятно, зачем это нужно. Кажется, что require() зависит от modSearch (), чтобы определить, какой код загрузить и откуда. Если modSearch () не позволяет загружать данные из любого места, которое не разрешено в изолированной программной среде, есть ли что-либо еще в реализации require() по умолчанию, которая небезопасна или дает основания для осторожности?

1

duktape

Источник

user281683 18 окт '15 в 00:55

1 ответ

Решение

Другие вопросы по тегам duktape

user3739210 18 окт '15 в 14:40 2015-10-18 14:40 · Accepted Answer · 2015-10-18 14:40

Рекомендуется подчеркнуть, что по умолчанию require() не обязательно безопасна для песочницы (даже если текущая реализация была), поэтому, вероятно, лучше заменить ее при песочнице против потенциально ненадежного кода (по крайней мере, если код может быть активно вредоносным, чем просто случайно сломался).

Тем не менее, я не знаю никаких конкретных вопросов прямо сейчас.