Electron 和 V8 内存牢笼
Electron 21 及更高版本将启用 V8 内存牢笼,这对某些原生模块有影响。
要跟踪关于 Electron 21+ 中原生模块使用的持续讨论,请参阅 electron/electron#35801。
在 Electron 21 中,我们将参照 Chrome 在 Chrome 103 中做出的相同决定,在 Electron 中启用 V8 沙盒指针。这对于原生模块有一些影响。此外,我们之前已在 Electron 14 中启用了相关的技术——指针压缩。当时我们没有对此做太多讨论,但指针压缩对 V8 堆的最大大小有影响。
这两项技术启用后,在安全性、性能和内存使用方面都非常有益。然而,启用它们也存在一些缺点。
启用沙盒指针的主要缺点是**指向外部(“堆外”)内存的 ArrayBuffer 不再被允许**。这意味着依赖 V8 中此功能的原生模块需要重构,以便在 Electron 20 及更高版本中继续工作。
启用指针压缩的主要缺点是 **V8 堆的最大大小被限制为 4GB**。具体细节有些复杂——例如,ArrayBuffer 与 V8 堆的其余部分分开计算,但有它们自己的限制。
Electron 升级工作组认为指针压缩和 V8 内存牢笼的好处大于缺点。主要有三个原因:
- 这使得 Electron 更接近 Chromium。Electron 在诸如 V8 配置等复杂的内部细节上与 Chromium 的差异越小,我们意外引入 Bug 或安全漏洞的可能性就越小。Chromium 的安全团队实力强大,我们希望确保能够利用他们的工作。此外,如果一个 Bug 只影响在 Chromium 中未使用的配置,那么修复它不太可能成为 Chromium 团队的优先事项。
- 性能更好。指针压缩可将 V8 堆大小减少高达 40%,并将 CPU 和 GC 性能提高 5%–10%。对于绝大多数不会触及 4GB 堆大小限制且不使用需要外部缓冲区的原生模块的 Electron 应用程序来说,这些都是显著的性能提升。
- 更安全。一些 Electron 应用程序运行不受信任的 JavaScript(希望它们遵循我们的安全建议!),对于这些应用程序来说,启用 V8 内存牢笼可以保护它们免受一大类恶劣的 V8 漏洞的影响。
最后,对于确实需要更大堆大小的应用程序,也有一些变通方法。例如,可以在你的应用中包含一份禁用了指针压缩的 Node.js 副本,并将内存密集型工作转移到子进程中。虽然有些复杂,但如果你决定为你的特定用例做出不同的权衡,也可以构建一个禁用了指针压缩的自定义 Electron 版本。最后,在不远的将来,wasm64 将允许使用 WebAssembly 构建的应用程序(无论是网页应用还是 Electron 应用)使用远超 4GB 的内存。
常见问题解答
我如何知道我的应用是否受到此变更的影响?
在 Electron 20+ 中,尝试使用 ArrayBuffer 封装外部内存将在运行时崩溃。
如果你的应用不使用任何原生 Node 模块,那么你是安全的——无法仅通过纯 JS 触发此崩溃。此变更仅影响那些在 V8 堆之外分配内存(例如使用 `malloc` 或 `new`)然后用 ArrayBuffer 封装外部内存的原生 Node 模块。这是一个相当罕见的用例,但有些模块确实使用了这种技术,此类模块需要重构才能兼容 Electron 20+。
我如何衡量我的应用使用了多少 V8 堆内存,以了解我是否接近 4GB 限制?
在渲染器进程中,你可以使用 `performance.memory.usedJSHeapSize`,它将返回 V8 堆的字节使用量。在主进程中,你可以使用 `process.memoryUsage().heapUsed`,两者是可比较的。
什么是 V8 内存牢笼?
有些文档称之为“V8 沙箱”,但这个术语很容易与 Chromium 中发生的其他类型的沙箱混淆,因此我将沿用“内存牢笼”(memory cage)这个术语。
一种相当常见的 V8 漏洞利用方式大致如下:
- 在 V8 的 JIT 引擎中找到一个 Bug。JIT 引擎分析代码,以便能够省略缓慢的运行时类型检查并生成快速的机器码。有时逻辑错误会导致分析错误,省略了实际需要的类型检查——比如,它认为 x 是一个字符串,但实际上它是一个对象。
- 利用这种混淆来覆盖 V8 堆内部的某些内存位,例如,ArrayBuffer 开头的指针。
- 现在你就有了一个可以指向任意位置的 ArrayBuffer,因此你可以读取和写入进程中的**任何**内存,甚至是 V8 通常无法访问的内存。
V8 内存牢笼是一种旨在从根本上防止此类攻击的技术。实现方式是*不在 V8 堆中存储任何指针*。相反,V8 堆内部对其他内存的所有引用都存储为某个保留区域开头的偏移量。这样,即使攻击者设法破坏了 ArrayBuffer 的基地址(例如,通过利用 V8 中的类型混淆错误),他们最坏也只能在牢笼内读写内存,而这无论如何他们可能已经能够做到了。关于 V8 内存牢笼如何工作,还有很多可读的内容,因此这里不再深入细节——最好的入门阅读材料可能是 Chromium 团队的高层设计文档。
我想重构一个 Node 原生模块以支持 Electron 21+。我该怎么做?
重构原生模块以兼容 V8 内存牢笼有两种方法。第一种方法是**将**外部创建的缓冲区**复制**到 V8 内存牢笼中,然后再将其传递给 JavaScript。这通常是一个简单的重构,但当缓冲区很大时可能会比较慢。另一种方法是**使用 V8 的内存分配器**来分配你打算最终传递给 JavaScript 的内存。这有点复杂,但可以避免复制,这意味着对于大型缓冲区有更好的性能。
为了更具体说明,这里有一个使用外部 ArrayBuffer 的 N-API 模块示例
// Create some externally-allocated buffer.
// |create_external_resource| allocates memory via malloc().
size_t length = 0;
void* data = create_external_resource(&length);
// Wrap it in a Buffer--will fail if the memory cage is enabled!
napi_value result;
napi_create_external_buffer(
env, length, data,
finalize_external_resource, NULL, &result);
当内存牢笼启用时,这将导致崩溃,因为数据是在牢笼外部分配的。重构为将数据复制到牢笼中,我们得到:
size_t length = 0;
void* data = create_external_resource(&length);
// Create a new Buffer by copying the data into V8-allocated memory
napi_value result;
void* copied_data = NULL;
napi_create_buffer_copy(env, length, data, &copied_data, &result);
// If you need to access the new copy, |copied_data| is a pointer
// to it!
这将把数据复制到 V8 内存牢笼内部新分配的内存区域。另外,如果事后需要修改或引用新复制的数据,N-API 也可以提供指向该数据的指针。
重构以使用 V8 的内存分配器要稍微复杂一些,因为它需要修改 `create_external_resource` 函数,使其使用 V8 分配的内存,而不是使用 `malloc`。这是否可行取决于你是否控制 `create_external_resource` 的定义。思路是先使用 V8 创建缓冲区,例如使用 `napi_create_buffer`,然后将资源初始化到由 V8 分配的内存中。重要的是要保留对 Buffer 对象的 `napi_ref`,以确保资源生命周期内它不会被 V8 垃圾回收,否则可能导致 use-after-free 错误。