Node.js v24.0.0 文档
- Node.js v24.0.0
- 目录
-
索引
- 断言测试
- 异步上下文追踪
- 异步钩子
- Buffer
- C++ 插件
- 带有 Node-API 的 C/C++ 插件
- C++ 嵌入器 API
- 子进程
- 集群
- 命令行选项
- Console
- Crypto
- 调试器
- 已弃用的 API
- 诊断通道
- DNS
- Domain
- 错误
- 事件
- 文件系统
- 全局对象
- HTTP
- HTTP/2
- HTTPS
- 检查器
- 国际化
- 模块:CommonJS 模块
- 模块:ECMAScript 模块
- 模块:
node:moduleAPI - 模块:包
- 模块:TypeScript
- Net
- OS
- Path
- 性能钩子
- 权限
- Process
- Punycode
- 查询字符串
- Readline
- REPL
- 报告
- 单可执行应用程序
- SQLite
- Stream
- 字符串解码器
- 测试运行器
- 定时器
- TLS/SSL
- 跟踪事件
- TTY
- UDP/数据报
- URL
- 实用工具
- V8
- VM
- WASI
- Web Crypto API
- Web Streams API
- Worker 线程
- Zlib
- 其他版本
- 选项
权限#
源代码: src/permission.cc
权限可用于控制 Node.js 进程可以访问哪些系统资源,或者进程可以使用这些资源执行哪些操作。
- 基于进程的权限控制 Node.js 进程对资源的访问。 资源可以完全允许或拒绝,或者可以控制与其相关的操作。 例如,可以允许文件系统读取,同时拒绝写入。 此功能不能防止恶意代码。 根据 Node.js 的 安全策略,Node.js 信任它被要求运行的任何代码。
权限模型实现了一种“安全带”方法,它可以防止受信任的代码无意中更改文件或使用尚未明确授予访问权限的资源。 它不提供在存在恶意代码情况下的安全保证。 恶意代码可以绕过权限模型并执行任意代码,而无需受到权限模型施加的限制。
如果您发现潜在的安全漏洞,请参阅我们的 安全策略。
基于进程的权限#
权限模型#
Node.js 权限模型是一种限制执行期间对特定资源访问的机制。 API 存在于标志 --permission 之后,启用该标志将限制对所有可用权限的访问。
可用权限由 --permission 标志记录。
使用 --permission 启动 Node.js 时,通过 fs 模块访问文件系统、派生进程、使用 node:worker_threads、使用原生插件、使用 WASI 和启用运行时检查器的能力将受到限制。
$ node --permission index.js
Error: Access to this API has been restricted
at node:internal/main/run_main_module:23:47 {
code: 'ERR_ACCESS_DENIED',
permission: 'FileSystemRead',
resource: '/home/user/index.js'
} 允许访问派生进程和创建工作线程可以使用 --allow-child-process 和 --allow-worker 分别完成。
要在使用权限模型时允许原生插件,请使用 --allow-addons 标志。 对于 WASI,请使用 --allow-wasi 标志。
运行时 API#
通过 --permission 标志启用权限模型时,会向 process 对象添加一个新属性 permission。 此属性包含一个函数
permission.has(scope[, reference])#
在运行时检查权限的 API 调用 (permission.has())
process.permission.has('fs.write'); // true
process.permission.has('fs.write', '/home/rafaelgss/protected-folder'); // true
process.permission.has('fs.read'); // true
process.permission.has('fs.read', '/home/rafaelgss/protected-folder'); // false 文件系统权限#
默认情况下,权限模型限制通过 node:fs 模块访问文件系统。 它不保证用户无法通过其他方式(例如通过 node:sqlite 模块)访问文件系统。
要允许访问文件系统,请使用 --allow-fs-read 和 --allow-fs-write 标志
$ node --permission --allow-fs-read=* --allow-fs-write=* index.js
Hello world! 这两个标志的有效参数是
*- 分别允许所有FileSystemRead或FileSystemWrite操作。- 由逗号 (
,) 分隔的路径,分别仅允许匹配的FileSystemRead或FileSystemWrite操作。
示例
--allow-fs-read=*- 它将允许所有FileSystemRead操作。--allow-fs-write=*- 它将允许所有FileSystemWrite操作。--allow-fs-write=/tmp/- 它将允许对/tmp/文件夹的FileSystemWrite访问。--allow-fs-read=/tmp/ --allow-fs-read=/home/.gitignore- 它允许对/tmp/文件夹和/home/.gitignore路径的FileSystemRead访问。
也支持通配符
--allow-fs-read=/home/test*将允许读取对与通配符匹配的所有内容的访问。 例如:/home/test/file1或/home/test2
传递通配符 (*) 后,将忽略所有后续字符。 例如:/home/*.js 的工作方式类似于 /home/*。
初始化权限模型时,如果指定的目录存在,它将自动添加通配符 (*)。 例如,如果 /home/test/files 存在,它将被视为 /home/test/files/*。 但是,如果该目录不存在,则不会添加通配符,并且访问权限将仅限于 /home/test/files。 如果要允许访问尚不存在的文件夹,请确保明确包含通配符:/my-path/folder-do-not-exist/*。
将权限模型与 npx 结合使用#
如果您使用 npx 执行 Node.js 脚本,则可以通过传递 --node-options 标志来启用权限模型。 例如
npx --node-options="--permission" package-name 这会为 npx 派生的所有 Node.js 进程设置 NODE_OPTIONS 环境变量,而不会影响 npx 进程本身。
使用 npx 的 FileSystemRead 错误
上面的命令可能会抛出 FileSystemRead 无效访问错误,因为 Node.js 需要文件系统读取权限来查找和执行包。 为了避免这种情况
-
使用全局安装的包 授予对全局
node_modules目录的读取权限,方法是运行npx --node-options="--permission --allow-fs-read=$(npm prefix -g)" package-name -
使用
npx缓存 如果您临时安装包或依赖于npx缓存,请授予对 npm 缓存目录的读取权限npx --node-options="--permission --allow-fs-read=$(npm config get cache)" package-name
您通常传递给 node 的任何参数(例如,--allow-* 标志)也可以通过 --node-options 标志传递。 这种灵活性使得在使用 npx 时可以轻松地根据需要配置权限。
权限模型约束#
在使用此系统之前,您需要了解一些约束
- 该模型不会继承到子节点进程或工作线程。
- 使用权限模型时,以下功能将受到限制
- 原生模块
- 子进程
- Worker 线程
- 检查器协议
- 文件系统访问
- WASI
- 权限模型在 Node.js 环境设置后初始化。 但是,某些标志(例如
--env-file或--openssl-config)旨在在环境初始化之前读取文件。 因此,此类标志不受权限模型的规则约束。 同样的适用于可以通过运行时通过v8.setFlagsFromString设置的 V8 标志。 - 启用权限模型后,无法在运行时请求 OpenSSL 引擎,从而影响内置的 crypto、https 和 tls 模块。
- 启用权限模型后,无法加载运行时可加载扩展,从而影响 sqlite 模块。
- 通过
node:fs模块使用现有文件描述符会绕过权限模型。
限制和已知问题#
- 即使对于访问已被授予的路径集之外的位置,也会跟随符号链接。 相对符号链接可能允许访问任意文件和目录。 启动启用权限模型的应用程序时,必须确保未授予访问权限的任何路径都不包含相对符号链接。