2
.docx
Blue Ridge, плагин к фреймворку веб-приложений Ruby on Rails, позволяет осуществлять модульное тестирование JavaScript-кода как в браузере, так и вне его. Это достигается за счёт использования фреймворка автоматизированного тестирования Screw.Unit и Rhino с env.js[101].
Главная проблема систем тестирования, не использующих браузеры, в том, что они используют эмуляции, а не реальные окружения, в которых выполняется код. Это приводит к тому, что успешное прохождение тестов не гарантирует того, что код корректно отработает в браузере[102][103]. Проблемой систем тестирования, использующих браузер, является сложность работы с ними, необходимость осуществления рутинных неавтоматизированных действий[104]. Для решения этого JsTestDriver, фреймворк автоматизированного тестирования, разрабатываемый Google, использует сервер, взаимодействующий с браузерами для осуществления тестирования[105]. Сходным образом ведёт себя Selenium Remote Control, входящий во фреймворк автоматизированного тестирования Selenium: он включает в себя сервер, запускающий и завершающий браузеры и действующий как HTTP-прокси для запросов к ним[106]. Кроме того, в Selenium содержится Selenium Grid, позволяющий осуществлять одновременное тестирование JavaScript-кода на разных компьютерах с разными окружениями, уменьшая время выполнения тестов[107]. Testswarm, имеющее поддержку фреймворков автоматизированного тестирования JavaScript-кода QUnit (библиотека jQuery), UnitTestJS (библиотека Prototype), JSSpec (библиотека MooTools), JsUnit, Selenium и Dojo Objective Harness, представляет собой распределённое средство поддержки непрерывной интеграции[108].
Негативное свойство, которым может обладать фреймворк автоматизированного тестирования JavaScript-кода — наличие зависимостей. Это создаёт риск отказа в работе тестируемого кода, успешно проходящего тесты, в среде с отсутствием этих зависимостей. Например, исходная версия JsUnitTest, фреймворка, созданного и использовавшегося для тестирования библиотеки Prototype, зависела от самой Prototype, изменяющего свойства объектов в глобальной области видимости[109]. Включение в библиотеку JavaScript инструмента тестирования — распространённая практика. Так YUI Test 3 является частью Yahoo! UI Library и может быть безопасно использован для тестирования произвольного JavaScript-кода[110]. QUnit — фреймворк автоматизированного тестирования, созданный разработчиками jQuery[111].
Связь с другими языками[править | править вики-текст]
Взаимное влияние[править | править вики-текст]
Стандартизация JavaScript потребовала уйти от проблем с торговыми марками, поэтому стандарт ECMA 262 называет язык ECMAScript, три редакции которого были опубликованы с начала работы над ним в ноябре 1996 года.
Objective-J — это строгое компактное надмножество JavaScript, в котором к JavaScript добавлено:
традиционное наследование,
динамическая диспетчеризация методов в стиле Smalltalk/Objective-C,
псевдостатичная типизация.
VBScript от Microsoft, подобно JavaScript, может выполняться на стороне клиента в веб-страницах. VBScript имеет синтаксис, производный от Visual Basic и поддерживается только в Internet Explorer.
JSON, или объектная нотация JavaScript, это формат обмена данными общего назначения, определённый как подмножество JavaScript.
Scheme также является родственным JavaScript языком, поскольку оба представляют богатые возможности функционального программирования: JavaScript является динамическим языком, поддерживает гибкие массивы, может легко симулировать s-выражения, имеет поддержку лямбда-выражений[112].
JavaScript и Java[править | править вики-текст]
Общим заблуждением является то, что JavaScript аналогичен или тесно связан с Java, это не так[19]. Оба языка имеют C-подобный синтаксис, являются объектно-ориентированными и как правило широко используются в клиентских веб-приложениях, на этом их сходство заканчивается:
Java реализует ООП подход, основанный на классах, JavaScript — на прототипах;
Java имеет статическую типизацию, JavaScript — динамическую типизацию;
Java загружается из скомпилированного байт-кода; JavaScript интерпретируется напрямую из файла (но часто с незаметной JIT-компиляцией).
Реализация[править | править вики-текст]
На JavaScript реализованы интерпретаторы ряда языков программирования, что позволяет использовать для них как среду выполнения веб-браузер. Им можно найти применение, например, в образовательных целях[113].
HotRuby — свободная реализация виртуальной машины Руби на JavaScript и Flash. Позволяет выполнять байткод, полученный в результате компиляции YARV. Реализует большую часть грамматики Руби. Пока не реализован механизм исключений и большая часть встроенных функций и классов[114]. При помощи HotRuby на веб-страницах можно использовать руби-скрипты. Для этого руби-код следует поместить в блок:
<script type="text/ruby"> … </script>
HotRuby выделит его, пошлёт на компиляцию удалённому скрипту и затем отобразит результаты работы на странице[115]. Данная реализация позволяет осуществлять доступ из Руби к объектам JavaScript[116].
Таблица реализаций языков программирования на JavaScriptЯзык Название реализации Основные авторы Лицензия
JavaScript s-mr[117] Andrei Formiga New BSD
PostScript WPS[118] Tom Hlavaty ?
Ассемблер для MOS Technology 6502 6502asm[119] Stian Soreng GPL
Objective-J Cappuccino[120] Ross Boucher LGPL
Haskell ycr2js[121] Tom Shackell, Neil Mitchell, Andrew Wilkinson, Mike Dodds, Bob Davie, Dimitry Golubovsky simple permissive license
Prolog Monash Toy Prolog[122] Lloyd Allison ?
ioctl[123] Jan Grant ?
Cat Cat Interpreter[124] Christopher Diggins Общественное достояние
Scheme BiwaScheme[125] Yutaka Hara MIT
BASIC Quite BASIC[126] Nikko Strom бесплатная проприетарная
Lily (англ.) Lily[127] Bill Orcutt MIT
Forth wForth[128] K Jacobson ?
PHP phype[129] casperbp, hjelmen0 Artistic license (англ.)[130]
Python 3 Brython[131] ? ?
Взаимодействие[править | править вики-текст]
В некоторых языках программирования существуют средства поддержки взаимодействия с JavaScript-кодом.
Для PHP имеется пакет HTML_Javascript, предоставляющий интерфейс создания простых JavaScript-программ[132].
Соответствующий пакет для TCL называется ::javascript. Он предоставляет команды генерации кода HTML и JavaScript[133].
Пакет для Perl Data::JavaScript позволяет переносить структуры данных Perl в JavaScript-код[134].
Поддержка браузерами[править | править вики-текст] Информация в этом разделе устарела.
Вы можете помочь проекту, обновив его и убрав после этого данный шаблон.
На сегодняшний день поддержку JavaScript обеспечивают современные версии всех наиболее часто используемых браузеров. В Internet Explorer, Opera, Mozilla Firefox, Safari, Google Chrome имеется полная поддержка третьей редакции ECMA-262. При этом в Mozilla Firefox предпринята попытка осуществления поддержки четвёртой редакции спецификации, а первым браузером, в котором появилась неполная поддержка спецификации 3.1, явился Internet Explorer 8[135].
Допущенные разработчиками популярных браузеров ошибки в реализации спецификации, как правило, незначительны[136]. По состоянию на ноябрь 2009 года объектная модель документа имеет более ограниченную поддержку[137].
По мнению создателя языка, поддержка в Internet Explorer компанией Microsoft одного из существующих и применяющихся в других браузерах быстрых движков JavaScript способно привести к появлению приложений, работающих с трёхмерной графикой, написанных на JavaScript 3D-игр, использованию JavaScript в задачах, в которых ранее применялась технология Adobe Flash[138].
Наборы тестов[править | править вики-текст]
Регрессионное тестирование соответствия браузеров третьей редакции спецификации ECMA-262 может осуществляться[139][140] с помощью разработанного Google инструмента для тестирования соответствия спецификации ECMAScript Sputnik, включающего более пяти тысяч вариантов тестирования[141] и получившего название по имени российской команды Google[141], а также написанной Юрием Зайцевым оболочки sputniktests-webrunner[142] или сервиса Google[143]. Варианты тестирования, входящие в Sputnik обновляются в связи с выходом пятой редакции спецификации ECMA-262, отражая изменения по сравнению с её предыдущей редакцией[144].
ECMAScript 5 Conformance Suite[145] представляет собой набор тестов, выпущенный Microsoft под лицензией BSD[146], для проверки соответствия реализации языка ECMAScript его пятой редакции спецификации. По состоянию на 12 марта 2010 года в пакете насчитывалось 1236 вариантов тестирования, он имел версию 0.2 альфа и количество загрузок за три месяца составляло 178[147].
Для проверки корректности реализаций JavaScript имеется набор тестов JavaScript Test Suite, выпущенных Mozilla[148][149].
Безопасность[править | править вики-текст]
JavaScript позволяет потенциальным авторам вредоносного кода запускать его на любом компьютере сети: для этого достаточно открыть на нём веб-страницу. Это обуславливает наличие двух принципиальных ограничений:
JavaScript-программы выполняются в песочнице, в которой они могут выполнять только ограниченный круг действий, а не задачи программирования общего назначения (например, создание файлов, работа с сокетами)[150],
для JavaScript-кода применяется политика общего происхождения, в соответствии с которой скрипт, встроенный в страницу, не может получить доступ к ряду свойств объектов другой страницы (в частности, к большинству свойств объекта document) при отличии в протоколе, хосте и номере порта этих страниц[151].
Помимо этого, разработчики браузеров вносят дополнительные ограничения в ответ на имеющие место злоупотребления. Так появился, в частности, запрет на открытие окна, размер одной стороны которого меньше ста пикселей[150].
Межсайтовые уязвимости[править | править вики-текст]
Основные статьи: Межсайтовый скриптинг, Подделка межсайтовых запросов
Общая проблема, касающаяся JavaScript — межсайтовый скриптинг или XSS, нарушение политики общего происхождения. Уязвимости XSS имеют место в ситуациях, когда злоумышленник имеет возможность поместить скрипт на страницу, демонстрирующуюся пользователю. В этом случае скрипт получает доступ к сайту с правами этого пользователя, что в ряде случаев открывает возможность отсылки конфиденциальной информации, осуществление нежелательных транзакций.
Уязвимости XSS также происходят из-за ошибок, допущенных разработчиками браузеров[152].
Другим типом межсайтовой уязвимости является подделка межсайтовых запросов или CSRF. Она заключается в возможности сайта злоумышленника заставить браузер пользователя осуществить нежелательное действие на целевом сайте (например, банковский перевод денег). Такая возможность имеется, если целевой сайт полагается только на HTTP cookie или запросы авторизации. В этом случае запросы, инициализированные кодом сайта злоумышленника выполняются так же как запросы пользователя, если он авторизован на целевом сайте. Одним из средств защиты от CSRF является осуществление аутентификации при любом запросе, который приводит к необратимым последствиям. Также может помочь анализ HTTP referer.
Неуместное доверие на стороне клиента[править | править вики-текст]
Разработчики клиентских приложений, вне зависимости от того, используют они JavaScript или нет, должны осознавать, что последние могут находиться под контролем злоумышленников. Поэтому любая проверка на стороне клиента может быть обойдена, JavaScript может быть как запущен, так и нет. Код, подвергнувшийся обфускации может стать объектом обратной разработки; данные формы могут быть посланы на сервер, минуя валидацию, осуществляемую с помощью JavaScript; скрипты могут быть отключены частично, поэтому, например, надёжную защиту от сохранения изображений с помощью JavaScript осуществить нельзя[153]; чрезвычайно неосмотрительно внедрять пароль в JavaScript, исполняемый на клиенте, где он может быть найден злоумышленником.
Ошибки в браузере, плагинах и расширениях[править | править вики-текст]
JavaScript предоставляет интерфейс к широкому спектру возможностей браузера, некоторые из которых могут содержать ошибки, приводящие, например, к переполнению буфера. Это позволяет писать скрипты, приводящие к исполнению произвольного кода на пользовательской системе.
Подобные ошибки выявлялись у часто используемых браузеров, включая Mozilla Firefox[154], Internet Explorer[155], Safari[156]. При выявлении потенциально опасных ошибок в браузере и наличия сведений о реализованных эксплойтах фирма-производитель и эксперты по безопасности рекомендуют отключать JavaScript до выхода патча[157][158].
Плагины, такие как плееры, Macromedia Flash и ряд ActiveX компонент, доступных по умолчанию в Internet Explorer, могут также содержать ошибки, эксплуатируемые с помощью JavaScript, что уже случалось ранее[159][160].
Расширения Mozilla Firefox не изолированы друг от друга: одно расширение может исправлять другое, что может использоваться злоумышленниками. На конференции SecurityByte & Owasp AppSec Asia 2009 Роберто Сагги Ливерани (Roberto Suggi Liverani) и Ник Фримэн (Nick Freeman) продемонстрировали три эксплойта в популярных расширениях Firefox, загруженные с сайта более 30 миллионов раз[161].
Ошибки реализации песочницы[править | править вики-текст]
Браузеры могут запускать JavaScript вне песочницы с привилегиями, необходимыми для создания и удаления файлов, например. Однако такие привилегии не должны даваться коду из веба.
Неправильное наделение привилегиями JavaScript из веба служило причиной уязвимостей как Internet Explorer[162], так и Mozilla Firefox[163].
Microsoft Windows позволяет файлам с кодом JavaScript запускаться как обычным программам без того, чтобы быть помещёнными в песочницу. Это делает возможным создание троянских программ[164].