در iframe های sandboxed از eval() استفاده کنید

سیستم برنامه افزودنی Chrome یک خط‌مشی امنیت محتوای پیش‌فرض نسبتاً سختگیرانه (CSP) را اعمال می‌کند. محدودیت‌های خط‌مشی ساده هستند: اسکریپت باید خارج از خط به فایل‌های جاوا اسکریپت جداگانه منتقل شود، کنترل‌کننده‌های رویداد درون خطی باید برای استفاده از addEventListener تبدیل شوند و eval() غیرفعال است.

با این حال، می‌دانیم که کتابخانه‌های مختلفی از eval() و ساختارهای شبیه eval مانند new Function() برای بهینه‌سازی عملکرد و سهولت بیان استفاده می‌کنند. کتابخانه های الگو به ویژه مستعد این سبک پیاده سازی هستند. در حالی که برخی (مانند Angular.js ) از CSP خارج از جعبه پشتیبانی می‌کنند، بسیاری از فریم‌ورک‌های محبوب هنوز به مکانیزمی که با دنیای eval افزونه‌ها سازگار باشد، به‌روزرسانی نشده‌اند. بنابراین حذف پشتیبانی از آن عملکرد برای توسعه‌دهندگان مشکل‌سازتر از حد انتظار بوده است.

این سند sandboxing را به عنوان مکانیزم ایمن برای گنجاندن این کتابخانه ها در پروژه های خود بدون به خطر انداختن امنیت معرفی می کند.

چرا سندباکس؟

eval در داخل یک برنامه افزودنی خطرناک است زیرا کدی که اجرا می کند به همه چیز در محیط با مجوز بالا دسترسی دارد. تعداد زیادی chrome.* استخراج ساده داده ها کمترین نگرانی ماست. راه حل ارائه شده یک جعبه شنی است که در آن eval می تواند کد را بدون دسترسی به داده های برنامه افزودنی یا API های با ارزش بالای برنامه افزودنی اجرا کند. بدون داده، بدون API، بدون مشکل.

ما این کار را با فهرست کردن فایل های HTML خاص در داخل بسته برنامه افزودنی به عنوان جعبه شنی انجام می دهیم. هر زمان که یک صفحه sandbox بارگیری شود، به یک مبدا منحصر به فرد منتقل می شود و از دسترسی به chrome.* API. اگر این صفحه سندباکس را از طریق iframe در برنامه افزودنی خود بارگذاری کنیم، می‌توانیم پیام‌هایی را به آن ارسال کنیم، اجازه دهیم به نحوی روی آن پیام‌ها عمل کند و منتظر بمانیم تا نتیجه را به ما ارسال کند. این مکانیسم پیام‌رسانی ساده همه چیزهایی را که برای گنجاندن کدهای مبتنی بر eval در گردش کار برنامه افزودنی نیاز داریم، به ما می‌دهد.

یک سندباکس ایجاد و استفاده کنید

اگر می‌خواهید مستقیماً وارد کد شوید، پسوند نمونه sandboxing را بردارید و بلند شوید . این یک نمونه کاربردی از یک API پیام کوچک است که در بالای کتابخانه قالب Handlebars ساخته شده است، و باید همه چیزهایی را که برای شروع به کار نیاز دارید در اختیار شما قرار دهد. برای کسانی از شما که می‌خواهید کمی توضیح بیشتری بدهید، بیایید این نمونه را با هم در اینجا مرور کنیم.

فایل‌ها را در مانیفست فهرست کنید

هر فایلی که باید در یک جعبه ایمنی اجرا شود باید با افزودن یک ویژگی sandbox در مانیفست پسوند فهرست شود. این یک مرحله حیاتی است و فراموش کردن آن آسان است، بنابراین دوباره بررسی کنید که فایل سندباکس شما در مانیفست فهرست شده باشد. در این نمونه، فایلی را با نام هوشمندانه "sandbox.html" sandbox می کنیم. ورودی مانیفست به شکل زیر است:

{
  ...,
  "sandbox": {
     "pages": ["sandbox.html"]
  },
  ...
}

فایل سندباکس را بارگیری کنید

برای انجام کاری جالب با فایل sandboxed، باید آن را در زمینه ای بارگذاری کنیم که بتوان با کد افزونه به آن پرداخت. در اینجا، sandbox.html از طریق iframe در یک صفحه افزونه بارگذاری شده است. فایل جاوا اسکریپت صفحه حاوی کدی است که با یافتن iframe در صفحه و فراخوانی postMessage() در contentWindow ، هر زمان که روی عملکرد مرورگر کلیک می‌شود، پیامی را به sandbox ارسال می‌کند. پیام یک شی حاوی سه ویژگی است: context ، templateName و command . ما در یک لحظه به context و command می پردازیم.

service-worker.js:

chrome.action.onClicked.addListener(() => {
  chrome.tabs.create({
    url: 'mainpage.html'
  });
  console.log('Opened a tab with a sandboxed page!');
});

extension-page.js:

let counter = 0;
document.addEventListener('DOMContentLoaded', () => {
  document.getElementById('reset').addEventListener('click', function () {
    counter = 0;
    document.querySelector('#result').innerHTML = '';
  });

  document.getElementById('sendMessage').addEventListener('click', function () {
    counter++;
    let message = {
      command: 'render',
      templateName: 'sample-template-' + counter,
      context: { counter: counter }
    };
    document.getElementById('theFrame').contentWindow.postMessage(message, '*');
  });

یه کار خطرناک انجام بده

هنگامی که sandbox.html بارگیری می شود، کتابخانه Handlebars را بارگیری می کند و یک الگوی درون خطی را به روشی که Handlebars پیشنهاد می کند ایجاد و کامپایل می کند:

extension-page.html:

<!DOCTYPE html>
<html>
  <head>
    <script src="mainpage.js"></script>
    <link href="styles/main.css" rel="stylesheet" />
  </head>
  <body>
    <div id="buttons">
      <button id="sendMessage">Click me</button>
      <button id="reset">Reset counter</button>
    </div>

    <div id="result"></div>

    <iframe id="theFrame" src="sandbox.html" style="display: none"></iframe>
  </body>
</html>

sandbox.html:

   <script id="sample-template-1" type="text/x-handlebars-template">
      <div class='entry'>
        <h1>Hello</h1>
        <p>This is a Handlebar template compiled inside a hidden sandboxed
          iframe.</p>
        <p>The counter parameter from postMessage() (outer frame) is:
          </p>
      </div>
    </script>

    <script id="sample-template-2" type="text/x-handlebars-template">
      <div class='entry'>
        <h1>Welcome back</h1>
        <p>This is another Handlebar template compiled inside a hidden sandboxed
          iframe.</p>
        <p>The counter parameter from postMessage() (outer frame) is:
          </p>
      </div>
    </script>

این شکست نمی خورد! حتی اگر Handlebars.compile از new Function استفاده می‌کند، همه چیز دقیقاً همانطور که انتظار می‌رود کار می‌کند، و در نهایت با یک الگوی کامپایل شده در templates['hello'] مواجه می‌شویم.

نتیجه را به عقب برگردانید

ما این الگو را با راه اندازی یک شنونده پیام که دستورات صفحه افزونه را می پذیرد، برای استفاده در دسترس قرار می دهیم. ما از command ارسال شده برای تعیین اینکه چه کاری باید انجام شود استفاده خواهیم کرد (شما می توانید تصور کنید که کاری بیش از رندر کردن ساده انجام دهید؛ شاید ایجاد الگوها؟ شاید آنها را به نحوی مدیریت کنید؟)، و context مستقیماً برای رندر به قالب منتقل می شود. . HTML ارائه شده به صفحه برنامه افزودنی بازگردانده می شود تا برنامه افزودنی بتواند بعداً با آن کار مفیدی انجام دهد:

 <script>
      const templatesElements = document.querySelectorAll(
        "script[type='text/x-handlebars-template']"
      );
      let templates = {},
        source,
        name;

      // precompile all templates in this page
      for (let i = 0; i < templatesElements.length; i++) {
        source = templatesElements[i].innerHTML;
        name = templatesElements[i].id;
        templates[name] = Handlebars.compile(source);
      }

      // Set up message event handler:
      window.addEventListener('message', function (event) {
        const command = event.data.command;
        const template = templates[event.data.templateName];
        let result = 'invalid request';

       // if we don't know the templateName requested, return an error message
        if (template) {
          switch (command) {
            case 'render':
              result = template(event.data.context);
              break;
            // you could even do dynamic compilation, by accepting a command
            // to compile a new template instead of using static ones, for example:
            // case 'new':
            //   template = Handlebars.compile(event.data.templateSource);
            //   result = template(event.data.context);
            //   break;
              }
        } else {
            result = 'Unknown template: ' + event.data.templateName;
        }
        event.source.postMessage({ result: result }, event.origin);
      });
    </script>

در صفحه افزونه، ما این پیام را دریافت می کنیم و با داده های html که به ما ارسال شده است، کار جالبی انجام می دهیم. در این مورد، ما فقط آن را از طریق یک اعلان بازتاب می‌دهیم، اما استفاده از این HTML به‌عنوان بخشی از رابط کاربری افزونه کاملاً ممکن است. درج آن از طریق innerHTML خطر امنیتی قابل توجهی ندارد زیرا ما به محتوای ارائه شده در جعبه ایمنی اعتماد داریم.

این مکانیسم قالب بندی را ساده می کند، اما البته به قالب بندی محدود نمی شود. هر کدی که تحت یک خط‌مشی امنیتی سختگیرانه محتوا کار نمی‌کند، می‌تواند در جعبه ایمنی قرار گیرد. در واقع، اغلب برای اجزای سندباکس افزونه‌های شما مفید است که به درستی اجرا می‌شوند تا هر بخش از برنامه شما را به کوچک‌ترین مجموعه‌ای از امتیازات لازم برای اجرای صحیح آن محدود کند. ارائه Writing Secure Web Apps and Chrome Extensions از Google I/O 2012 چند نمونه خوب از این تکنیک ها را در عمل ارائه می دهد و ارزش 56 دقیقه وقت شما را دارد.