ClearScript项目中禁用字符串代码执行的安全实践

背景介绍

在构建多租户脚本运行环境时，安全始终是首要考虑因素。ClearScript作为一款强大的脚本引擎集成工具，允许开发者在.NET应用中嵌入JavaScript等脚本语言。然而，这种灵活性也带来了潜在的安全风险，特别是当需要支持客户自定义脚本时。

核心安全问题

JavaScript语言中，eval和Function构造函数能够将字符串动态解析为可执行代码，这为恶意用户提供了潜在的攻击途径。在多租户环境中，必须严格控制这类功能的使用，以防止代码注入攻击和潜在的安全漏洞。

解决方案探索

禁用eval函数

最简单的防护措施是重写eval函数，使其抛出错误：

eval = function() {
    throw new Error("The 'eval' function is disabled.");
}

这种方法简单有效，但仅解决了部分问题。

处理Function构造函数

更复杂的是处理Function构造函数及其变体。直接赋值为null并不能完全阻止其使用，因为攻击者仍可通过原型链获取构造函数：

const FuncCtor = (function () { }).constructor;
const log = new FuncCtor('str', 'console.log(str);');

全面防护方案

ClearScript团队提供的解决方案更为全面，它通过以下方式彻底禁用所有形式的动态代码生成：

1. 获取异步函数构造函数：识别所有可能的代码生成入口点
2. 创建抛出错误的构造函数：构造一个始终抛出错误的新构造函数
3. 修改原型链：确保所有函数实例都无法获取原始构造函数
4. 使用Proxy拦截：全面拦截Function对象的构造和调用行为

完整实现代码如下：

(() => {
    const AsyncFunction = (async () => {}).constructor;
    const ctor = (function () { throw new Error('Function constructors are disabled'); }).bind();
    Object.defineProperty(Function.prototype, 'constructor', { value: ctor });
    Object.defineProperty(AsyncFunction.prototype, 'constructor', { value: ctor });
    Function = new Proxy(Function, { construct: ctor, apply: ctor });
})()

技术原理分析

这个方案之所以有效，是因为它从多个层面进行了防护：

1. 原型链修改：通过修改Function和AsyncFunction原型的constructor属性，确保任何通过原型获取的构造函数都是被修改过的版本
2. Proxy拦截：使用Proxy可以拦截对Function对象的所有操作，包括构造(new)和调用(apply)
3. 错误抛出：统一的错误处理机制确保任何尝试动态生成代码的行为都会被立即终止

实际应用效果

在实际测试中，该方案能够有效拦截以下所有形式的动态代码生成尝试：

1. 通过普通函数获取构造函数
2. 通过异步函数获取构造函数
3. 直接使用Function构造函数
4. 各种间接调用方式

每次尝试都会抛出明确的错误信息："Function constructors are disabled"，便于开发者识别和调试安全问题。

安全建议

对于需要构建安全脚本环境的开发者，建议：

1. 在初始化脚本引擎后立即应用此防护措施
2. 结合其他安全措施如资源访问限制
3. 定期审查脚本引擎的安全配置
4. 考虑实现白名单机制，仅允许特定的安全API

未来展望

虽然当前方案已经相当完善，但从架构角度看，将此类安全配置作为ClearScript的内置选项会更具优势。期待未来版本能够提供更直接的安全配置接口，如：

engine.DisableCodeGenerationFromStrings = true;

这种原生支持将简化安全配置，同时提供更可靠的防护机制。

总结

在多租户脚本环境中，安全永远是首要考虑。通过本文介绍的技术方案，开发者可以在ClearScript构建的脚本环境中有效防止通过字符串动态生成代码的安全风险，为客户提供既灵活又安全的脚本执行环境。