Deno 命令行界面

news2024/11/13 14:45:07

目录

1、命令行界面

​2、脚本源

3、脚本参数

4、监听模式

5、完整性标记(lock files)

6、缓存和编译标记

7、运行时标记

7.1 类型检查标记

7.2 权限标记

7.2.1 权限

7.2.2 放心地运行不受信任的代码

7.2.3 权限列表

7.2.4 可配置权限

文件系统访问

网络访问

环境变量

子进程权限


1、命令行界面

Deno是一个命令行程序。您应该熟悉一些简单的命令 到目前为止,我已经学习了这些示例,并且已经了解了shell的基础知识使用。

有多种方式可以查看主要帮助文本:

# Using the subcommand.
deno help

# Using the short flag -- outputs the same as above.
deno -h

# Using the long flag -- outputs more detailed help text where available.
deno --help

我们可以deno的帮助命令,以此来了解deno其他相关命令的一些用法:

2、脚本源

Deno可以从多个源获取脚本,一个文件名,一个URL和'-'到 从标准输入读取文件,后者对于与其他应用。

deno run main.ts
deno run https://mydomain.com/main.ts
cat main.ts | deno run -

创建一个文件名为main.ts,内容如下:

console.log("这是一个测试")

我们可以发现Deno是可以从多个源来进行读取的。

3、脚本参数

与Deno运行时标志不同,您可以通过在脚本名称之后指定参数来将它们传递给您正在运行的脚本:

deno run main.ts a b -c --quiet

请注意,在脚本名称之后传递的任何内容都将作为脚本传递 参数,而不作为Deno运行时标志使用。这导致了以下几点陷阱:

# Good. We grant net permission to net_client.ts.
deno run --allow-net net_client.ts

# Bad! --allow-net was passed to Deno.args, throws a net permission error.
deno run net_client.ts --allow-net

不同位置标志根据其位置而被不同地解析。这是区分运行时标志和脚本参数的最符合逻辑和人体工程学的方法。事实上,这与任何其他流行的运行时的行为相同。

尝试节点-c index. js和节点index.js-c。第一个将仅根据节点的-c标志对index.js进行语法检查。第二个将执行index.js,并将-c传递给require("process").argv。

4、监听模式

您可以将--watch标志提供给deno rundeno testdeno compile、 deno fmt启用内置文件监视器。被监视的文件 取决于使用的子命令:

  • deno rundeno testdeno compile为入口点,所有本地 将监视入口点静态导入的文件。
  • 对于deno fmt,所有指定为命令行参数的本地文件和目录(如果没有传递特定的文件/目录,则为工作目录)都会被监视。

每当磁盘上的一个监视文件发生更改时,程序将自动重新启动/格式化/测试/构建。

deno run --watch main.ts
deno test --watch
deno fmt --watch

我们修改一下main.ts 文件的内容,看下对应监听的结果如何:

5、完整性标记(lock files)

可以将资源下载到该高速缓存的命令:deno cachedeno rundeno testdeno docdeno compile

--lock <FILE>    Check the specified lock file
--lock-write     Write lock file. Use with --lock.

可以通过lock文件指定依赖,避免远程和本地缓存的不一致性。

6、缓存和编译标记

影响可以填充缓存的命令:deno cache、deno run、deno test、deno doc和deno编译。除了上面的标志,这包括那些影响模块解析、编译配置等的标志。

--config <FILE>               Load configuration file
--import-map <FILE>           Load import map file
--no-remote                   Do not resolve remote modules
--reload=<CACHE_BLOCKLIST>    Reload source code cache (recompile TypeScript)
--unstable                    Enable unstable APIs

7、运行时标记

影响执行用户代码的命令:deno run和deno test。这些包括上述所有内容以及以下内容。

7.1 类型检查标记

您可以使用以下命令对代码进行类型检查(而不执行):

deno check main.ts

您也可以在执行代码之前使用--check deno run的参数:

deno run --check main.ts

此标记影响deno rundeno evaldeno repldeno cache。的 下表描述了各种子命令的类型检查行为。 这里“本地”意味着只有来自本地代码的错误才会引起类型错误。 从https URL(远程)导入的模块可能存在不 报道(To打开所有模块的类型检查,使用--check=all。)

子命令类型检查方式
deno bench📁本地
deno cache
deno check📁本地
deno test📁本地
deno eval
deno repl
deno run
deno test📁本地

7.2 权限标记

7.2.1 权限

Deno默认是安全的。因此,除非您特别启用它,否则使用Deno运行的程序无法访问文件、网络或环境。访问安全敏感功能需要通过命令行标志或运行时权限提示向正在执行的脚本授予权限。这与Node有很大不同,Node依赖项自动授予对所有内容的完全访问权限,从而在项目中引入隐藏的漏洞。

7.2.2 放心地运行不受信任的代码

由于Deno默认不提供输入/输出访问,因此它对于运行不受信任的代码和审核第三方代码很有用。如果您正在构建或扩展运行用户生成代码的平台,您可以使用Deno安全地运行第三方代码,并通过Deno子托管或您选择的任何其他云平台托管此代码。
对于以下示例,mod.ts已被授予对文件系统的只读访问权限。它不能写入文件系统,或执行任何其他安全敏感功能。

deno run --allow-read mod.ts

7.2.3 权限列表

以下权限可用:

  • --allow-env=\<VARIABLE_NAME> 允许环境访问诸如获取和设置环境变量。从Deno 1.9开始,您可以指定一个可选的、逗号分隔的环境变量列表来提供允许的环境变量列表
  • --allow-sys=\<API_NAME> 允许访问提供用户操作系统信息的API,例如Deno. osRelease()和Deno.systemMemoryInfo()。您可以从以下列表中指定允许的接口用逗号分隔列表:hostname、osRelease、osUptime、loadavg、networkInterface、systemMemoryInfo、uid和gid。这些字符串映射到Deno命名空间中提供操作系统信息的函数。
  • --allow-hrtime 允许高分辨率时间测量。高分辨率时间可用于定时攻击和指纹识别。
  • --allow-net=\<IP/HOSTNAME> 允许网络访问。您可以指定一个可选的、逗号分隔的IP地址或主机名列表(可选地使用端口),以提供允许的网络地址的允许列表。
  • --allow-ffi=\<PATH> 允许加载动态库。您可以指定一个可选的、逗号分隔的目录或文件列表,以提供允许加载的动态库的允许列表。请注意,动态库不是在沙盒中运行的,因此没有与Deno进程相同的安全限制。因此,请谨慎使用。请注意--let-ffi是一个不稳定的功能。
  • --allow-read=\<PATH> 允许文件系统读取访问。您可以指定可选的、逗号分隔的目录或文件列表,以提供允许的文件系统访问列表。
  • --allow-run=\<PROGRAM_NAME> 允许运行子进程。从Deno 1.9开始,您可以指定一个可选的、逗号分隔的子进程列表来提供允许子进程的允许列表。请注意,子进程不在沙盒中运行,因此没有与Deno进程相同的安全限制。因此,请谨慎使用。
  • --allow-write=\<PATH> 允许文件系统可写入。您可以指定可选的、逗号分隔的目录或文件列表,以提供允许的文件系统访问的允许列表。
  • -A, --allow-all 允许所有权限。这将启用所有安全敏感功能。谨慎使用。

从Deno 1.36开始,可以使用以下标志:

  • --deny-env=\<VARIABLE_NAME> 拒绝环境变量的获取和设置。您可以指定一个可选的、逗号分隔的环境变量列表来提供允许的环境变量的允许列表。此处指定的任何环境变量都将被拒绝访问,即使它们是在--let-env中指定的。
  • --deny-sys=\<API_NAME> 拒绝访问提供用户操作系统信息的API。
  • --deny-hrtime 禁用高分辨率时间,高分辨率时间可用于计时攻击和指纹识别。
  • --deny-net=\<IP/HOSTNAME> 禁用网络访问。您可以指定一个可选的、逗号分隔的IP地址或主机名列表(可选带有端口)来提供网络地址的拒绝列表。此处指定的任何地址都将被拒绝访问,即使它们是在--allo-net中指定的。
  • --deny-ffi=\<PATH> 拒绝加载动态库。您可以指定一个可选的、逗号分隔的目录或文件列表,以提供允许加载的动态库的拒绝列表。此处指定的任何库都将被拒绝访问,即使它们是在--let-ffi中指定的。请注意--den-ffi是一个不稳定的功能。
  • --deny-read=\<PATH> 拒绝文件系统读取。您可以指定一个可选的、逗号分隔的目录或文件列表,以提供允许的文件系统访问的拒绝列表。此处指定的任何路径都将被拒绝访问,即使它们是在--allo-read中指定的。
  • --deny-run=\<PROGRAM_NAME> 拒绝正在运行的子进程。您可以指定一个可选的、逗号分隔的子进程列表来提供允许的子进程的拒绝列表。请注意,子进程不是在沙盒中运行的,因此没有与Deno进程相同的安全限制。因此,请谨慎使用。此处指定的任何程序都将被拒绝访问,即使它们是在--all-run中指定的。
  • --deny-write=\<PATH> 拒绝文件系统可写入。您可以指定一个可选的、逗号分隔的目录或文件列表,以提供允许的文件系统访问的拒绝列表。此处指定的任何路径都将被拒绝访问,即使它们是在--allo-write中指定的。

7.2.4 可配置权限

某些权限允许您对特定的实体列表(文件、服务器等)而不是所有实体开放权限。

文件系统访问

此示例通过允许对 /usr目录的只读访问来限制文件系统访问。结果,当进程试图读取 /etc目录中的文件时,执行失败:

$ deno run --allow-read=/c/Users https://deno.land/std@0.198.0/examples/cat.ts /d/2023/deno_1/main.ts
Download https://deno.land/std@0.198.0/examples/cat.ts
Error clearing stdin for permission prompt. Could not emulate enter key press: 句柄无效。 (os error 6)
error: Uncaught PermissionDenied: Requires read access to "D:/2023/deno_1/main.ts", run again with the --allow-read flag
  const file = await Deno.open(filename);
                          ^
    at Object.open (ext:deno_fs/30_fs.js:574:26)
    at https://deno.land/std@0.198.0/examples/cat.ts:10:27

使用正确的权限再次尝试,允许访问 /etc:

 deno run --allow-read=/d https://deno.land/std@0.198.0/examples/cat.ts /d/2023/deno_1/main.ts
// main.ts
console.log("测试监听......")
console.log(Deno.args); // [ "a", "b", "-c", "--quiet" ]

您可以使用--denen-read进一步限制某些子路径不可访问

deno run --allow-read=/d --deny-read=/d/2023 https://deno.land/std@0.198.0/examples/cat.ts /d/2023/deno_1/main.ts
error: Uncaught PermissionDenied: Requires read access to "D:/2023/deno_1/main.ts", run again with the --allow-read flag
  const file = await Deno.open(filename);
                          ^
    at Object.open (ext:deno_fs/30_fs.js:574:26)
    at https://deno.land/std@0.198.0/examples/cat.ts:10:27
网络访问
// fetch.js
const result = await fetch("https://deno.land/");

下面是如何允许网络访问特定主机名或IP地址的示例,可以选择锁定到指定端口:

# 多个主机, 允许所有端口访问
deno run --allow-net=github.com,deno.land fetch.js

# 一个主机,端口为80:
deno run --allow-net=deno.land:80 fetch.js

# 一个IPv4地址,端口为443
deno run --allow-net=1.1.1.1:443 fetch.js

# 一个IPv6地址, 允许所有端口访问
deno run --allow-net=[2606:4700:4700::1111] fetch.js

您可以使用--deny-net将某些域限制为永远不可访问

// 允许与除myserver.com以外的所有地址建立网络连接。
deno run --allow-net --deny-net=myserver.com fetch.js

如果fetch. js尝试与任何未明确允许的主机名或IP建立网络连接,相关调用将引发异常。

环境变量
// env.js
Deno.env.get("HOME");

这是一个如何允许访问环境变量的示例:

# 允许所有环境变量
deno run --allow-env env.js

# Allow access to only the HOME env var
deno run --allow-env=HOME env.js

Windows用户注意事项:环境变量在Windows上不区分大小写,因此Deno也不区分大小写地匹配它们(仅在Windows上)。

您可以使用--denn-env标志将某些env var限制为永远无法访问:

#允许除AWS_ACCESS_KEY_ID和AWS_SECRET_ACCESS_KEY之外的所有环境变量。
deno run --allow-env --deny-env=AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY env.js
子进程权限

子进程非常强大,可能有点吓人:不管你授予产生它们的Deno进程什么权限,它们都有权限系统资源。unix系统上的cat程序可以用来从磁盘读取文件。如果你通过Deno.runAPI启动这个程序,即使父Deno进程不能直接读取文件,它也能从磁盘读取文件。这通常被称为越权。

因此,请确保仔细考虑是否要授予程序--all-run访问权限:它本质上使Deno安全沙盒无效。如果您确实需要生成特定的可执行文件,您可以通过将特定的可执行文件名称传递给--all-run标志来限制Deno进程可以启动哪些程序来降低风险。

// run.js
const proc = Deno.run({ cmd: ["whoami"] });
# 只允许生成一个“whoami”子进程
deno run --allow-run=whoami run.js

# 允许运行任何子进程
deno run --allow-run run.js

您只能限制允许的可执行文件;如果授予执行它的权限,则可以传递任何参数。例如,如果您传递--allo-run=cat,则用户可以使用cat读取任何文件。

您可以使用--den-run标志将某些可执行文件限制为永远无法访问:

# 禁止生成“git”
deno run --allow-run --deny-run=git run.js

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1122756.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Vm虚拟机安装Linux(ubuntu18.04)系统教程(2023最新最详细)

软件&#xff1a;Linux版本&#xff1a;18.0.4语言&#xff1a;简体中文大小&#xff1a;1.82G安装环境&#xff1a;VMware硬件要求&#xff1a;CPU2.0GHz 内存4G(或更高&#xff09; 下载通道①丨百度网盘&#xff1a; 1.Vm虚拟机15.5下载链接&#xff1a; https://pan.baidu.…

Vue项目中使用Multiavatarjs生成自定义随机头像-demo

Multiavatar & vue-color-avatar 前者使用简单一点提供的有api&#xff0c;后者更类似一个项目 主要使用Multiavatar去实现随机生成头像的功能 https://github.com/multiavatar/Multiavatar/blob/main/multiavatar.js 使用很简单&#xff0c;把js下载保存到项目中&#xff…

【Top101】002链表内指定区间反转

链表内指定区间反转_牛客题霸_牛客网 import java.util.*;/** public class ListNode {* int val;* ListNode next null;* public ListNode(int val) {* this.val val;* }* }*/public class Solution {/*** 代码中的类名、方法名、参数名已经指定&#xff0c;请勿…

零代码编程:用ChatGPT将Mobi、epub、azw3等电子书批量转换为word文档

将ebook格式转换为PDF需要一个名为Calibre的命令行工具。这是一个开源的电子书管理工具&#xff0c;首先在系统上安装它&#xff0c;软件下载地址&#xff1a;https://calibre-ebook.com/download_windows 然后将其添加到PATH环境变量中&#xff1a; 接下来&#xff0c;在ChatG…

学信息系统项目管理师第4版系列35_补遗

题外话&#xff1a;1. 计划没有变化快&#xff0c;10月18日软考出了通告&#xff0c;10月28日和29日分别是信息系统项目管理师第一批次和第二批次考试&#xff0c;比原先11月4日提前一周&#xff0c;祝贺那一批敢为人先的幸运儿。 2. 该系列也进入了尾声&#xff0c;补遗是正文…

【Maven】Unknown lifecycle phase “.skip.test=true“.

idea 终端执行如下命令时 mvn clean install -Dmaven.skip.testtrue报&#xff1a; Unknown lifecycle phase ".skip.testtrue". You must specify a valid lifecycle phase or a goal in the format <plugin-prefix>:<goal> or <plugin-group-id&…

【ONE·C++ || 智能指针 特殊类的设计】

总言 主要介绍智能指针&#xff08;auto_ptr、unique_ptr、shared_ptr、weak_ptr&#xff09;和特殊类的设计&#xff08;单例模式&#xff09;。 文章目录 总言1、为什么需要智能指针&#xff1f;&#xff08;内存泄漏&#xff09;1.1、什么是内存泄漏1.2、内存泄漏的分类和常…

leetcode做题笔记199. 二叉树的右视图

给定一个二叉树的 根节点 root&#xff0c;想象自己站在它的右侧&#xff0c;按照从顶部到底部的顺序&#xff0c;返回从右侧所能看到的节点值。 示例 1: 输入: [1,2,3,null,5,null,4] 输出: [1,3,4]示例 2: 输入: [1,null,3] 输出: [1,3]示例 3: 输入: [] 输出: [] 思路一&…

SD/SDIO(2):SDIO协议介绍和初始化流程

文章目录 1 标准/非标准SDIO规范2 SDIO引脚定义3 SDIO初始化流程3.1 由不支持I/O的主机初始化3.2 由支持I/O的主机初始化3.3 CMD5(IO_SEND_OP_COND)3.4 R4(CMD5的回复) 4 总结 1 标准/非标准SDIO规范 如下图所示&#xff0c;SDIO总线规范由物理层规范和SDIO规范定义。组合卡(包…

基于WebRTC构建的程序因虚拟内存不足导致闪退问题的排查以及解决办法的探究

目录 1、WebRTC简介 2、问题现象描述 3、将Windbg附加到目标进程上分析 3.1、Windbg没有附加到主程序进程上&#xff0c;没有感知到异常或中断 3.2、Windbg感知到了中断&#xff0c;中断在DebugBreak函数调用上 3.3、32位进程用户态虚拟地址和内核态虚拟地址的划分 …

Dockerfile 镜像创建

目录 一、创建镜像的三种方法&#xff1a; 二、基于已有镜像创建&#xff1a; 1.启动一个镜像&#xff1a; ​编辑 2.将修改后的容器提交为新的镜像&#xff1a; 三、基于本地模板创建&#xff1a; 1.下载模板&#xff1a; 2.导入为镜像&#xff1a; 四、基于Dockerfile 创…

AD9371 官方例程HDL详解之JESD204B TX_CLK生成 (一)

AD9371 系列快速入口 AD9371ZCU102 移植到 ZCU106 &#xff1a; AD9371 官方例程构建及单音信号收发 ad9371_tx_jesd -->util_ad9371_xcvr接口映射&#xff1a; AD9371 官方例程之 tx_jesd 与 xcvr接口映射 参考资料&#xff1a; UltraScale Architecture GTH Transceive…

Windows 11中无法通过默认应用更改文件关联

这里写自定义目录标题 现象解决方法 这里以.md格式文件为例。 现象 在 Windows 11 计算机上安装第三方软件后&#xff0c;关联 JPG、JPE、JPEG、PNG、MPG、MPEG、MD 等文件类型和其他文件类型的能力可能会受到阻碍。以下是尝试更改上述文件类型的文件关联时可能遇到的问题。 …

docker部署与基础操作

目录 一、Docker 概述&#xff1a; 1. docker简介&#xff1a; 2. 容器的优点&#xff1a; 3. 容器在内核中支持2种重要技术&#xff1a; 4 . 容器与虚拟机 的区别&#xff1a; 5. docker三个核心概念&#xff1a; 二、安装docker&#xff1a; 1. 关闭防火墙&#xff1a; 2. 安…

字节码进阶之JVM Attach API详解

字节码进阶之JVM Attach API详解 文章目录 字节码进阶之JVM Attach API详解附加到虚拟机加载代理和获取信息分离虚拟机 使用Attach API的基本步骤1. **获取虚拟机实例**&#xff1a;2. **附加到虚拟机**&#xff1a;3. **加载代理或获取信息**4. **从虚拟机分离**&#xff1a;…

GCC安装

查看gcc版本 gcc -vUsing built-in specs. COLLECT_GCCgcc COLLECT_LTO_WRAPPER/usr/libexec/gcc/x86_64-redhat-linux/4.8.5/lto-wrapper Target: x86_64-redhat-linux Configured with: ../configure --prefix/usr --mandir/usr/share/man --infodir/usr/share/info --with-…

Identity-Preserving Talking Face Generation with Landmark and Appearance Priors

主要问题:1)模型如何生成具有与输入音频一致的面部运动(特别是嘴部和下颌运动)的视频?2)模型如何在保留身份信息的同时生成视觉上逼真的帧? 摘要: 从音频生成说话脸部视频引起了广泛的研究兴趣。一些特定个人的方法可以生成生动的视频,但需要使用目标说话者的视频进行训…

【tg】6: MediaManager的主要功能

【tg】2:视频采集的输入和输出 的管理者是 media manager‘ media 需要 network的支持:NetworkInterface friend class MediaManager::NetworkInterfaceImpl;NetworkInterfaceImpl 直接持有 MediaManager 的指针即可:发送rtp包、rtcp包、设置socket选项?

SpringMVC系列-5 消息转换器

背景 SpringMVC系列的第五篇介绍消息转换器&#xff0c;本文讨论的消息转换指代调用Controller接口后&#xff0c;对结果进行转换处理的过程。 内容包括介绍自定义消息转换器、SpringMVC常见的消息转换器、Spring消息转换器工作原理等三部分。 本文以 SpringMVC系列-2 HTTP请求…

Android Settings解析

首语 Android设置应用是Android系统中一个非常重要的系统应用&#xff0c;它允许用户调整和设置系统的各种参数和功能&#xff08;系统设置/自定义设置/控制应用权限/开发者选项/系统信息等&#xff09;&#xff0c;使用户获得更好的使用体验。同时它一般也是Android系统开发者…