【发布时间】:2017-03-24 11:57:27
【问题描述】:
我实际上还没有被列入使用谷歌云功能的白名单,但我有一个问题:
- http 函数可以访问我的谷歌云上下文吗?
我不想运行不受信任的 javascript 代码,所以我想使用一个函数作为沙箱,用户可以在其中运行简单的 javascript。
【问题讨论】:
-
所有用于在 Cloud Functions 中处理 HTTP 请求的 Javascript 代码都在 exported function 内运行。要在 HTTP 函数中运行用户的 JS 代码,您需要像通过请求正文一样将代码传递给服务器,并像使用
eval那样解析 HTTP 函数,这是非常不安全的。您能否提供一个您希望从 HTTP 函数运行的用户 JS 代码示例? Google Cloud 上下文是什么意思? -
将是“codepen”或“jsfiddle”之类的应用程序。但在我的情况下,它会评估服务器中的用户代码。如果它有恶意代码并且导出的函数没有其他外部信息(被隔离),那是没有问题的,因为它没有信息被窃取或崩溃。但是,例如,如果我的谷歌云凭证暴露给这个导出的函数,那将是一个问题。在我的实际架构中,我使用node vm 来处理它。
-
您需要哪些特定的服务器端功能而客户端 JS 执行不提供?
-
没有人.. 但是出于隐私原因,用户 A 生成的代码不能暴露给正在使用该代码的用户 B..
标签: google-cloud-platform google-cloud-functions