netidee
Netidee Blog Bild
Code-Ausführung im Browser richtig gemacht
Eine Geschichte von Interpretern und iframes (10.09.2019)
Förderjahr 2018 / Project Call #13 / ProjektID: 3361 / Projekt: Hedgehog Cloud

Im vorhergehenden Post haben wir erläutert, welche Abwägungen für die Programmausführung in der Hedgehog IDE wichtig sind, und dass JavaScript als Anfangspunkt die besten Voraussetzungen für eine offlinefähige Web-Entwicklungsumgebung bietet. In diesem Posts wirds konkret: wie funktioniert die Code-Ausführung denn jetzt wirklich?

Interpretiert

Dazu haben wir uns zwei Varianten angeschaut. Da wir in der Hedgehog IDE auch Blockly benutzen, haben wir nachgelesen, was denn Google so für die Ausführung empfiehlt, und sind dabei auf JS interpreter gestoßen. Wie der Name vermuten lässt handelt es sich dabei um einen JavaScript Interpreter, geschrieben in JavaScript. Das praktische an der Sache ist, dass der Interpreter volle Kontrolle über die Ausführung hat, was zum Beispiel schrittweise Ausführung ermöglicht.

Das ist an sich zwar toll, aber im letzten Post haben wir ja schon erwähnt:

Manche Sprachen haben auch webbasierte Interpreter, aber auch diese haben oft Nachteile: sie sind langsamer, nicht ganz kompatibel mit dem Original, und/oder groß und damit langsam herunterzuladen.

Ohne dem JS Interpreter konkret etwas zu unterstellen - die Idee, zuerst JavaScript in der Hedgehog IDE zu unterstützen, war es doch, keinen separaten Interpreter zu brauchen. Die Schritt-für-Schritt Ausführung ist ein tolles Feature, aber als erstes soll es doch der Browser selbst machen. Das heißt aber, wir müssen für die notwendige Isolation zwischen der Hedgehog IDE und dem Code unserer Nutzer sorgen.

iframes machen das!

Nehmen wir als Beispiel das einfachste JavaScript-Programm her, das wir schreiben können:

console.log("Hello World");

Sicherheit geht vor

Wir wollen das jetzt ausführen, aber abgeschirmt von der Hedgehog IDE selbst. Dazu gibt es in der Web-Welt praktischerweise genau das passende Tool, und zwar iframes. "inline frames" dienen dazu, HTML-Seiten in andere HTML-Seiten einzubetten. Wenn beide Seiten aber von der gleichen Domain stammen, erlaubt der Browser immer noch einiges an Zugriff zwischen den beiden Seiten, aber auch das können wir dem Browser mit dem "sandbox"-Attribut abgewöhnen. Das sieht dann zum Beispiel etwa so aus:

<iframe src="..." sandbox="allow-scripts" style="display: none;" />

JavaScript ist dem iframe erlaubt und er ist versteckt; alles andere potenziell nervige, wie etwa Popups öffnen, ist dem iframe verboten. Ganz wesentlich ist natürlich was der iframe tun soll, und das sagen wir ihm über postMessage.

Im äußeren Frame:

// hier muss später die tatsächliche URL der Web-Anwendung stehen
const ORIGIN = '*';

// onload wird aufgerufen, wenn der iframe geladen hat, also auch bereit ist Nachrichten zu empfangen
child.onload = () => {
  // hier sagen wir dem iframe was!
  child.contentWindow.postMessage(data, ORIGIN);
};

Im inneren Frame:

// hier muss später die tatsächliche URL der Web-Anwendung stehen
const ORIGIN = '*';

const receiveMessage = ({ data, origin, source }) => {
  // das muss normalerweise aktiviert sein!!
  // if (origin !== ORIGIN) return;

  // jetzt am besten irgendwas mit data machen!
};

// anfangen dem äußeren Frame zuzuhören
window.addEventListener('message', receiveMessage, false);

Umgekehrt - dass der innere auch dem äußeren Frame Nachrichten schicken kann - geht es fast genau gleich. Mit einer kleinen Ausnahme: die origin, die wir zur Sicherheit beim Empfang von Nachrichten überprüft haben, ist bei einem sandbox iframe ohne der "allow-same-origin" Berechtigung immer "null". Deswegen muss der äußere Frame sich anders helfen, um den sendenden iframe korrekt zu identifizieren, das geht so:

const receiveMessage = ({ data, origin, source }) => {
  if (origin !== 'null' || source !== child.contentWindow)
    return;

  // jetzt am besten irgendwas mit data machen!
};

... und das waren alle notwendigen Sicherheitsvorkehrungen! Um nochmal zusammenzufassen:

  • iframes, die das "sandbox"-Attribut haben sind perfekt von ihrer Umgebung abgeschirmt und deshalb perfekt für nicht vertrauenswürdigen Code geeignet. Dafür geben wir dem iframe die "allow-scripts"-Berechtigung, aber keinesfalls die "allow-same-origin"-Berechtigung.
  • Zur Kommunikation gibt es postMessage und das message-Event. Es ist unbedingt notwendig, den Absender einer Nachricht zu überprüfen, weil Nachrichten von jedem Browser-Tab oder iframe an jeden anderen gesendet werden können!
  • Normale Frames haben eine origin, das ist die URL der Webanwendung, über die man den Absender identifizieren kann.
  • Ohne "allow-same-origin" hat ein sandbox-iframe keine origin, weshalb in diesem Fall die genaue Identität des sendenden iframes überprüft werden muss.

Endlich Hello World

Mit der Security erledigt ist der Rest dann nicht mehr schwer, wir müssen nur noch dafür sorgen, dass wir den auszugebenden Text abfangen. Das geht im iframe denkbar einfach:

window.console.log = text => parent.postMessage({command: 'print', payload: text });

Im äußeren frame warten wir auf die Nachrichten und können damit machen was wir wollen!

Der gesamte Code

Für alle die das ganze selbst ausprobieren wollen gibt es hier den kompletten Code:

Äußerer Frame: index.html

<html>
<head>
</head>
<body>
<div id="mountpoint">
</div>
<div id="outputs">
</div>
<script type="text/javascript">
(() => {
  // when deployed, this is set to the actual URL of the web application
  const ORIGIN = '*';

  // this will store the child frame for communication
  let child = null;

  const handlers = {
    print: (source, text) => {
      // later on, the text can be shown somewhere else
      console.log(text);
    },
    exit: (source, error) => {
      // later on, the error can be shown somewhere else
      if (error) console.error("in child frame:", error);
      child.remove();
      child = null;
    },
  };

  const receiveMessage = ({ data, origin, source }) => {
    // a sandboxed frame without allow-same-origin must be checked via the source window
    if (origin !== 'null' || source !== child.contentWindow)
      return;

    const { command, payload } = data;

    const handler = handlers[command];
    if (handler) {
      handler(source, payload);
    }
  };

  window.addEventListener('message', receiveMessage, false);

  // creates a child iframe
  const execute = code => {
    child = document.createElement('iframe');
    child.setAttribute('src', 'child.html');
    child.setAttribute('sandbox', 'allow-scripts');
    child.style.display = 'none';
    document.getElementById('mountpoint').appendChild(child);

    const sendMessage = (command, payload) => {
      child.contentWindow.postMessage({ command, payload }, ORIGIN);
    };

    child.onload = () => {
      sendMessage('execute', code);
    };
  };

  execute(`
  console.log('this is the child!');
  `);
})();
</script>
</body>
</html>

Innerer Frame: child.html

<html>
<head>
</head>
<body>
<script type="text/javascript">
(() => {
  // when deployed, this is set to the actual URL of the web application
  const ORIGIN = '*';

  // this will store the parent frame for communication
  let parent = null;

  // talk to the parent frame
  const sendMessage = (command, payload) => {
    parent.postMessage({ command, payload }, ORIGIN);
  };

  // exported APIs for the client function
  window.console.log = text => sendMessage('print', text);

  // message listener & handlers
  const handlers = {
    execute: (source, code) => {
      // store the frame for later
      parent = source;

      const fn = new Function(code);
      try {
        fn();
        sendMessage('exit');
      } catch (error) {
        // we can't send the error to the outer frame, but we can send a string
        sendMessage('exit', error.toString());
        // still print a stack trace
        throw error;
      }
    },
  };

  const receiveMessage = ({ data, origin, source }) => {
    // activate this when deploying
    // if (origin !== ORIGIN) return;

    const { command, payload } = data;

    const handler = handlers[command];
    if (handler) {
      handler(source, payload);
    }
  };

  window.addEventListener('message', receiveMessage, false);
})();
</script>
</body>
</html>

 

Tags:

Web Security XSS

Clemens Koza

Profile picture for user ckoza
CAPTCHA
Diese Frage dient der Überprüfung, ob Sie ein menschlicher Besucher sind und um automatisierten SPAM zu verhindern.

    Weitere Blogbeiträge

    Netidee Blog Bild

    Hedgehog Cloud in Zeiten von Corona

    e-Learning liegt unfreiwillig voll im Trend, und Hedgehog Cloud schlägt im Bereich der Informatik voll in diese Kerbe.
    Netidee Blog Bild

    Erste Erfahrungen vom Robotics Day

    Letzte Woche war es so weit: beim Robotics Day 2020 in Wien kamen zum ersten Mal Schüler außerhalb eines PRIA-Workshops mit der Online-Version der Hedgehog IDE in Kontakt. Zwei Probleme im speziellen sind während des Robotics Day aufgefallen, im Groß...
    Netidee Blog Bild

    Online-Modellierungswettbewerb mit der Hedgehog IDE

    Der Robotics Day ist ein halbtätiges Event, das ganz im Zeichen der Wiener Robotik steht und Stationen zum Schauen, Staunen und Angreifen bietet. Teil davon ist dieses Jahr ein Modellierungswettbewerb, dessen Grundlage die Hedgehog IDE bildet.
    Netidee Blog Bild

    Einen simulierten Roboter fahren lassen

    Das wahrscheinlich wichtigste Ziel von Hedgehog Cloud ist es, die Hardwarekosten beim Experimentieren mit der Robotik zu eliminieren. Dazu ist natürlich ein Ersatz für den echten Roboter notwendig, mit einer Simulation im Browser.
    Netidee Blog Bild

    Going offline

    Das Internet ist immer und überall - oder? Auch wenn wir fast immer Internetzugang haben, wenn mal die Verbindung abbricht sollte der Computer nicht zum Briefbeschwerer werden. Eine Webapplikation zu schreiben steht damit nicht mehr im Widerspruch.
    Netidee Blog Bild

    Programmausführung in einer Web-IDE

    Was wäre eine Entwicklungsumgebung, ohne den Code seiner Benutzer ausführen zu können? In der Hedgehog-IDE ist uns Offlinefähigkeit und Datenschutz sehr wichtig. Hier ein kleiner Einblick, was heute so möglich ist.
    Netidee Blog Bild

    Halley's Bug und Node-Kompatibilität

    Wer den Begriff Heisenbug kennt, wird sich vielleich vorstellen können was ein Halley's Bug ist. Er tritt so selten auf, dass es schwer ist ihn zu beobachten.
    Netidee Blog Bild

    Die Web-Plattform voll ausreizen

    Damit die Hedgehog Cloud IDE jederzeit auf Veränderungen reagieren kann, ist HTTP nicht genug: der Server muss die Möglichkeit haben, von sich aus Updates zu schicken, und genau da kommen WebSockets ins Spiel.

    "Hello World" bei Hedgehog Cloud

    Mit diesem Projekt wollen wir noch mehr Kindern und Jugendlichen den Einstieg ins Programmieren ermöglichen.
    Datenschutzinformation
    Impressum | Datenschutz
    Der datenschutzrechtliche Verantwortliche (Internet Privatstiftung Austria - Internet Foundation Austria, Österreich) würde gerne mit folgenden Diensten Ihre personenbezogenen Daten verarbeiten. Zur Personalisierung können Technologien wie Cookies, LocalStorage usw. verwendet werden. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, können Sie Ihre Einwilligung jederzeit via unserer Datenschutzerklärung anpassen oder widerrufen.
    Sonstige Inhalte (1 Dienst)
    Einbindung zusätzlicher Informationen
    YouTube
    Google Ireland Limited, Irland
    Alle Detailszu YouTube
    Alle Detailszu YouTube