我正在编写一个应用程序,用户可以在其中输入python脚本并在沙箱中执行它。我需要一种方法来防止exec的代码导入某些模块,因此恶意代码不会成为一个问题。有没有办法在Python中执行此操作?
如果在sys.modules中为模块名称添加None,则将无法导入...
>>> import sys
>>> import os
>>> del os
>>> sys.modules['os']=None
>>> import os
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
ImportError: No module named os
>>>
你检查了python.org article on SandboxedPython和linked article吗?
这两个页面都有指向其他资源的链接。
具体来说,PyPi的RestrictedPython允许您准确定义可用的内容,并且有一些“安全”默认值可供选择。
Google App Engine的开源SDK具有详细而可靠的机制实现,可以阻止导入不需要的模块(以帮助检测尝试导入App Engine生产实例中未提供的模块的代码),尽管这可能是如果用户代码是邪恶的而不是错误的话,则会被颠覆(生产实例显然有更多的防御层,例如根本没有那些模块;-)。
所以这一切都取决于你的防守需要多深入。在一个极端,你只需将内置的__import__存放在其他地方,并将其替换为您的功能,在委托给__builtin__之前执行所需的所有检查;这可能是20行代码,30分钟实施和彻底测试......但是如果有人可靠地向我提供了一百万美元来闯入你的系统,它可能无法长时间保护你(假设我不是那么好 - 当然,我实际上是两个人的那种男人;-)。在另一个极端,你部署了一系列深层次的防御层,可能需要数千行和几周的实施和测试工作 - 鉴于这种资源预算我肯定可以实现我无法渗透的东西(但是有当然,总是存在某人ELSE比我更聪明,更精通Python的风险!)。
所以,你想要去多深,或者更确切地说,你有多深才能去......?
8年,耶,没有人认出这个? :/
您可以覆盖import语句或aka __import__函数。
这只是一个经过测试的涂鸦代码,因为我找不到任何合法的参考:
import importlib
def secure_importer(name, globals=None, locals=None, fromlist=(), level=0):
if name != 'C': print(name, fromlist, level)
# not exactly a good verification layer
frommodule = globals['__name__'] if globals else None
if name == 'B' and frommodule != 'C':
raise ImportError("module '%s' is restricted."%name)
return importlib.__import__(name, globals, locals, fromlist, level)
__builtins__.__dict__['__import__'] = secure_importer
import C
这是对该代码的测试:
Python 3.4.3 |Anaconda 2.3.0 (32-bit)| (default, Mar 6 2015, 12:08:17) [MSC v.1600 32 bit (Intel)] on win32
Type "copyright", "credits" or "license()" for more information.
>>> ================================ RESTART ================================
>>>
B ('f',) 0
imported secure module
>>> from B import f
B ('f',) 0
linecache None 0
encodings.utf_8 ['*'] 0
Traceback (most recent call last):
File "<pyshell#0>", line 1, in <module>
from B import f
File "\home\tcll\Projects\python\test\restricted imports\main.py", line 11, in secure_importer
raise ImportError("module '%s' is restricted."%name)
ImportError: module 'B' is restricted.
>>> import C
>>>
请不要使用Python34评论我,我有我的理由,这是我在Linux上的主要解释器,专门用于测试我的主项目的东西(如上面的代码)。
不幸的是,我认为你想要做的事情从根本上是不可能的。如果用户可以在您的应用程序中执行任意代码,那么他们可以随心所欲。即使您能够阻止它们导入某些模块,也没有什么能阻止它们自己编写等效功能(从头开始或使用一些可用的模块)。
我真的不知道在Python中实现沙箱的具体细节,但我认为这需要在解释器级别完成并且远非易事!
您可以重载导入机制。我们使用它来设置插件许可系统,您可以轻松拥有模块名称的白名单/黑名单。