问Python，安全，沙箱

EN

“不能这样做。”

运行任意(不受信任的)脚本和保持安全是矛盾的。您应该使用自定义内核、jails、vms等。

你可以看看http://codepad.org/about是如何做到这一点的，它有很多工作要做。

我不知道在早期的版本中，在Python3中，你可以通过types.FunctionType创建可以访问自定义作用域的函数。

def f():
  return __builtins__

f() # this will work because it has access to __builtins__
scope = {}
sandboxed = FunctionType(f.__code__,scope)
sandboxed()  # will throw NameError, builtins is not defined

返回的函数只能访问作用域字典中提供的任何内容。我想知道是否仍然有黑客围绕这一点。

现在有相当多的web服务器运行着不可信的python代码：

• http://codepad.org/ (可能是最臭名昭著的pastebin (以前是Javabat，更改名称以反映python addition)
• http://appengine.google.com/ )(在谷歌的infrastructure)
• http://www.spoj.pl/上托管Python代码臭名昭著的Sphere评委编码挑战

你可能想看看他们是如何解决问题的。

或者，您可能想看一种不同的方法：

• http://pyjs.org/ - pyjamas python- to -javascript编译器(运行客户端，将安全问题转移到客户端)