Open10
JavaScriptのSecure sandbox
uzmoiweb worker
web workerでのjsサンドボックスの情報がなさすぎる。
一応ライブラリはあるようだが、メンテナンスが心配だし、これは第三者のコードを安全に実行するためのものじゃない気がする。
uzmoiPartytownもセキュアサンドボックスというわけではなさそう?
uzmoihttps://github.com/slashd-analytics/runは一応対策してそうだけどブラックリストでは無理がある
uzmoiQuickJS
要wasm
wasmなのでセキュリティーは最強
GCがちょっと重いとの情報あり。けど大した問題ではなさそう。
Figmaで採用されている。
uzmoiiframe
iframeでのサンドボックスをやったことがないので何も知らない
スクリプトを動かそうとすると考慮しないといけないことが多くて大変そう(別オリジンにすればそんな事ないのか?)
同じスレッドで動くのでSpectreの影響を受ける?
codesandboxとかcodepenとかはこれ
uzmoiRealm / ShadowRealm
どれが何かよくわからん
同じスレッドで動くのでSpectreの影響を受ける?
proposal-sesのshim
以前Figmaが使っていたrealms-shimに脆弱性が見つかってevaluator-shimになってhttps://github.com/Agoric/ses-shimに移動してさらにendoに移動した?
uzmoieval / new Function
よくわかんないけど多分大丈夫だからヨシ!!!!!(よくない)
uzmoijs以外の選択肢
- wasm
- lua
- aiscript、もしくは同じような言語実行環境を作る