✨ l10n

Author: FurryR

README.md

@@ -1,100 +1,114 @@
-# secure-vm
+<div align="center">
 
-一个利用浏览器实现的，安全、轻量、极简、透明的沙箱环境。
+# ⭐ secure-vm
 
-```js
-const ctx = vm()
-ctx.console = console
-ctx.eval('console.log("Hello World!")')
-```
+> 🧪 Experimental `vm()` based on iframe for frontend (electron, micro apps, etc).
 
-- [secure-vm](#secure-vm)
-  - [兼容性](#兼容性)
-  - [使用方法](#使用方法)
-    - [创建](#创建)
-    - [外部访问](#外部访问)
-  - [缓存](#缓存)
-  - [原理](#原理)
+</div>
 
-## 兼容性
+## 📃 Getting Started
 
-| 特性     | Chrome | Edge | Firefox | Safari | Opera |
-| -------- | ------ | ---- | ------- | ------ | ----- |
-| 沙箱支持 | 84     | 84   | 79      | 14.1   | ❌    |
+### 🔽 Install
 
-## 使用方法
+#### 🦊 npm, yarn & pnpm, etc.
 
-### 创建
+```bash
+npm install secure-vm
+yarn add secure-vm
+pnpm install seucre-vm
+```
 
-要创建一个上下文，方式如下：
+#### 👾 IIFE (not recommended)
 
-```js
-const ctx = vm() // 返回一个 globalThis 对象
+```html
+<script src="index.global.js"></script>
+<script>
+  const ctx = SecureVM.vm()
+</script>
 ```
 
-然后，你可以使用 `ctx.eval` 或者 `ctx.Function` 执行代码：
+### ✅ Usage
 
 ```js
-ctx.eval('1 + 1')
+import { vm } from 'secure-vm'
+
+const ctx = vm() // Create an isolated context.
+ctx.console = globalThis.console
+ctx.eval(`
+console.log("Hello secure-vm")
+`)
 ```
 
-整个框架就这么多内容。
+## 🐺 Compatibility
+
+☣️ This is an **experimental library** that may be incompatible with some old browser kernels (for example, Opera).
+
+💫 Try it out by yourself: (Demo not ready)
 
-### 外部访问
+## 🛠️ Features
 
-你可以通过 `ctx` 向沙盒本身添加或移除一些全局属性，secure-vm 会帮助你进行相应的隔离。
+<table>
+<tr><td>
 
-甚至，即使使用 `ctx.Function = Function`，也不会导致沙盒逃逸。
+### 🔰 Ease to use
 
-**警告：secure-vm 并不能保证外部内容不被滥用。如果你的函数含有 eval 或者 Function 等内容，即使 secure-vm 也无能为力。**
+✅ To create a simple isolation, you only have to use a simple function, `vm`.
 
 ```js
-function A() {
-  this.method = function () {
-    return new Function("return 'Hello World'")
-  }
-  this.set_value = function (value) {
-    this.value = value
-  }
-  this.value = new Object()
-}
-const instance = new A()
 const ctx = vm()
-ctx.instance = instance
-ctx.eval(`
-const instance2 = new instance.constructor(); // OK，将创建一个新的，受隔离的 instance。
-instance.method()(); // OK，将返回 Hello World。
-instance2.method()(); // OK，将返回 Hello World。
-instance.method().constructor('return window')(); // 逃逸失败
-instance.value.constructor.constructor('return window')(); // 逃逸失败
-instance2.value.constructor.constructor('return window')(); // 逃逸失败
-instance.set_value(1); // 成功
-instance2.set_value(1); // 成功
+```
+
+<img width=2000 />
+
+</td></tr>
+<tr><td>
+
+### 🔒 Security
+
+🥰 Feel free to add anything you want, `Function` (`constructor`) is gonna be safe.
+
+```js
+ctx.fetch = fetch
+ctx.console = console
+fetch('some furry pics')
+  .then(
+    ctx.eval(`
+req => {
+  console.log(req)
+  return req.text()
+}
 `)
+  )
+  .then(v => {
+    console.log(v)
+  })
 ```
 
-## 缓存
+</td></tr>
+<tr><td>
+
+### 🤔 Obfuscation
 
-为了确保引用比较相等且不引发错误，secure-vm 内置了缓存系统，将尽量减少 Proxy 的创建。
+🔏 secure-vm will automatically erase the traceback line info (if available) so hackers cannot access source code, making it harder to deobfuscate.
 
 ```js
-const ctx = vm()
-const a = {
-  array1: ctx.Array,
-  array2: ctx.Array
+ctx.eval(`
+function throwError() {
+  throw new Error('Where is it?')
 }
-console.log(a.array1 === a.array2) // true
-delete a.array1
-delete a.array2
-// 此处，Proxy 对象被回收
+throwError() // throwError() will not be displayed in the DevTools traceback (Edge, Chromium, Firefox).
+`)
 ```
 
-## 原理
+</td></tr>
+</table>
+
+---
 
-iframe 在被加入 DOM 树时，会生成一个 Window 对象放置于 iframe.contentWindow。
+<div align="center">
 
-当 iframe 被从 DOM 树删除时，iframe.contentWindow 将变为 null。
+_`This project is licensed under the MIT license.`_
 
-而如果在删除之前先使用变量引用 contentWindow，再去删除 iframe，则会得到一个资源都被释放，但各种基础函数仍可用的 iframe。
+❤️
 
-这将成为一个绝佳的沙盒环境。secure-vm 在其上配合 Proxy，实现了前端安全沙盒。
+</div>

package.json

@@ -1,24 +1,45 @@
 {
   "name": "secure-vm",
   "version": "1.0.0",
-  "description": "Secure VM module for Browsers based on iframe.",
-  "main": "index.js",
+  "description": "Experimental JavaScript sandbox based on iframe for frontend (electron, micro apps, etc).",
+  "main": "./dist/index.js",
+  "exports": {
+    ".": {
+      "import": "./dist/index.mjs",
+      "require": "./dist/index.js"
+    }
+  },
   "scripts": {
     "test": "echo \"Error: no test specified\" && exit 1",
     "lint": "eslint ./src",
+    "lint:type": "tsc --noEmit -p ./tsconfig.json",
     "fix": "eslint ./src --fix",
-    "build": "tsc -p ./tsconfig.json"
+    "build": "tsup"
+  },
+  "publishConfig": {
+    "access": "public",
+    "registry": "https://registry.npmjs.com"
+  },
+  "types": "./dist/index.d.ts",
+  "repository": {
+    "type": "git",
+    "url": "git+https://github.com/FurryR/secure-vm.git"
   },
   "keywords": [
     "vm",
     "secure"
   ],
   "author": "FurryR",
   "license": "MIT",
+  "bugs": {
+    "url": "https://github.com/FurryR/secure-vm/issues"
+  },
+  "homepage": "https://github.com/FurryR/secure-vm#readme",
   "devDependencies": {
     "@typescript-eslint/eslint-plugin": "^6.7.5",
     "@typescript-eslint/parser": "^6.7.5",
     "eslint": "^8.51.0",
+    "tsup": "^8.0.1",
     "typescript": "^5.2.2"
   }
 }