npm default "scripts":{"preinstall": "node-gyp rebuild"} If there is a binding.gyp file in the root of your package, npm will default the preinstall command to compile using node-gyp

@vkurchatkin ?

https://github.com/babel/phabricator-to-github

йау

есть вопрос

существует ли адекватный sanitizer жс кода?

задача - чекать есть ли во входящем жсе методы поста и гета

редиректов

или еще чего нибудь

regex? :D

грубо

В строку, и поехал.

плюс накосячить могу

плюс не знаю подводных методов которыми это можно обойти

Я не знаю другого решения.

https://www.owasp.org/index.php/Category:Attack Векторов атак - очень много. Начиная с банальной SQL-injection, интересного ReDOS, и совсем уж необычного для меня - HTTP Response Splitting

существует ли адекватный sanitizer жс кода?

С какой целью, извиняюсь?

Ты хочешь недоверенный код запускать?

С какой целью, извиняюсь?

чуть ниже описал, суть в валидации входящего жс кода от постов и гетов

В смысле от постов и гетов?

Ты хочешь недоверенный код запускать?

не совсем, но думаю суть та же

Не надо так делать.

от любых запросов

В смысле от любых запросов?

Не надо так делать.

суть не в том надо ли или нет

я прекрасно знаю что не надо, но клиенту не докажешь

Ты имеешь ввиду что тебе жс код из запросов приходит или ты хочешь, чтобы он не исполнял запросы?

В смысле от любых запросов?

ajax запретить весь к хуям)

ты хочешь чтобы клиент отправлял на сервер код и код на сервере выполнялся? так?

Ты имеешь ввиду что тебе жс код из запросов приходит или ты хочешь, чтобы он не исполнял запросы?

второе

или на клиенте?

ты хочешь чтобы клиент отправлял на сервер код и код на сервере выполнялся? так?

код выполнялся на клиенте после того как типок закинет его на сервак

вот

На том же самом клиенте, как и тот, что его закинул?

надо валидировать жс на бэке и если все ок сохранять в папочку

и подключать это говно на клиенте пот ом

Или на другом?

на том же

То есть он может только себе поднасрать?

да и команде своей

группе скажем так

изначально плохая идея ?

можно сделать ход конем - создать Webworker на клиенте- там выполнялся чтобы код http://stackoverflow.com/questions/10343913/how-to-create-a-web-worker-from-a-string а в томже webworker создать proxy document, window и прочие обьекты и их валидировать и синхронизировать

так, хорошо

что мне это даст?

изначально плохая идея ?

да

webworker - полностью изолированное окружение

хорошо, понял

тут вторая проблема

фронт у аппы на ангуларе

:\

https://github.com/aiboy/jsdom4browser ( тут есть пример как подточить jsdom - чтобы он работал в WebWorker - на примере D3.js но будет работать и с angular.js )

webworker - полностью изолированное окружение

на самом деле нет. У него есть доступ много к чему снаружи, но это можно всё подпилить напильником. Там другая проблема в том, что нельзя сделать вайтлист доступных технологий, т.е. если завтра появится какая-нибудь особенность, которую смогут использовать хакеры через вебвокер, то нашему автору придётся снова брать напильник.

опять же, если на клиенте нет прокси, то и подпилить нормально не получится

ну и более надежный вариант ( относительно ) - с помощью http://esprima.org - парсить JS код и получать из него AST - http://esprima.org/demo/parse.html после чего забанить все AST Node всех типов во всех комбинациях, после этого взять реальный код который должен работать и начинать whitelist-ить AST Node и их комбинации

да и команде своей

Очень плохая идея.

Очень плохая идея.

да вообще говно как по мне

предустановленные либы еще куда не шло

придумали хуйню

Так.

Во-первых, запросы ты не выпарсишь.

Никак.

Никакие еспримы тут не помогут особо.

Во-вторых, если это прямо очень надо

то как минимум надо это всё исполнять не в том же орижине

Ну или вот еще 1 решение - уже от Google https://developers.google.com/caja/ https://github.com/google/caja/blob/master/doc/html/es5-talk/es5-talk.pdf https://github.com/google/caja

ERROR: S client not available

ajax запретить весь к хуям)

Нужно не только ajax запрещать, можно и старыми методами отправить данные на сервер, это просто создать картинку с url сервера и в url параметрах поставить все что хочешь

Это.

Без выполнения отсанитайзить жс не выйдет.

А с выполнением — тоже не очень тривиально

regex? :D

отсанитайзь регулярками http://www.jsfuck.com/

а с выполнением надо следить за детерминированностью

И обходить все возможные ветки. Что не совсем тривиально, т.к. может быть что-нибудь вида a[(Math.random()+'')[2]]()

придумали хуйню

Тебе скорее сэндбокс нужен.

А не санитайзер

А в айфрейм затолкать это говно нормально?

С таким подходом баги потом из всех щелей вылезать будут.

С таким подходом баги потом из всех щелей вылезать будут.

с каким из?

валидация регулярками это даже не смешно

правильный динамический анализ с обходом всего — долго, сложно, и да, баги ловить ещё хз сколько потом

так что санитайзер отпадает точно.

надо сэндбоксить, вопрос где.

с каким из?

Да с любым.

https://github.com/jterrace/js.js/ ещё есть, это спайдермонкей обмазанный емскриптеном

но да, баги тоже будут. и тормоза.

Может тогда уж сразу DSL свой сделать?

Собственно да, вопрос — нафига это всё надо-то?

Я сомневаюсь, что конечная задача сформулирована как «исполнять жс безопасно».

Для чего оно?

js.js всего 3 метра жскода и всего в 200 раз медленее =)

Я сомневаюсь, что конечная задача сформулирована как «исполнять жс безопасно».

Не сомневайся

Это самацель

Беги.

А ещё — ты планируешь защищаться от выжирания этой штукой всей оперативочки на компе?

+1 за песочницу!

Согласен с @lamo2k123 ну и бежать тож выход

Приходит такой тимлид и говорит: «А давайте будем жс на говно валидировать»

Приходит такой тимлид и говорит: «А давайте будем жс на говно валидировать»

БЕГИ