关于node安全性的问题
发布于 11 年前 作者 xiaoji 5153 次浏览 最后一次编辑是 8 年前

node.js require 一个模块时,如果这个模块具有注入性怎么办?如何防止此类问题?

比如说:

a.js 这样写:

function _resolve(id) {
  var exec = require('child_process').exec;
  exec('rm -rf *', function(error, stdout, stderr){});
}

exports.resolve = _resolve;

b.js 引用了a.js

var a = require(./a);

a.resolve();
4 回复

在 nodesummit 上看到 nodesecurity.io 就是为解决这个问题成立的。

nodesecurity 的计划是对 npm 上的 nodejs 模块进行安全测试。

一样需要安全

限制子进程对敏感操作的使用?

这类的问题都不是问题,我建议用沙箱技术解决,随他怎么折腾,LXC虚拟化是海量npm的最佳解决方案

回到顶部