V8沙箱的出现，将进程地址空间分为V8沙箱内存和V8沙箱外内存，为了防止任意内存读写，禁止使用危险的原始指针。沙箱内的对象通过对沙箱基地址的偏移引用。如下面的ArrayBuffer的内存布局，后端存储数据的原始指针（紫色部分）由沙箱基址偏移取代：

V8外部对象（如Blink对象）通过外部索引表引用。为了控制流完整性，代码和它的元数据等危险对象也要移到沙箱外，由代码索引表以及信任表引用。信任表用于对不包含原始指针的V8对象（如Bytecode 、Code metadata）的索引，这些对象虽然不包含指针，但利用这些对象仍可能打破沙箱。V8沙箱整体的设计图如下：

V8沙箱的出现增加了利用链的长度，一定程度上减少了V8漏洞对浏览器安全带来的攻击威胁。攻防相生相克，在pwn2own2024比赛中，Manfred Paul就利用一个整数溢出漏洞绕过了V8沙箱。

在沙箱出现前，通过ArrayBuffer以及其对应的TypedArray后端存储可有效控制任意内存读写。从上面的ArrayBuffer的内存布局可知，现在后端存储指针被替换为沙箱指针，而且长度被限制在235 ，有效阻止了利用这种方法任意读写。

随着Resizable ArrayBuffer的出现，对ArrayBuffer和SharedArrayBuffer以及他们的Type View的访问变得更加复杂。具体来讲对于ArrayBuffer和SharedArrayBuffer的构造函数添加了maximum length，ArrayBuffer能够随时增加和缩减缓存大小，而SharedArraybuffer能够随时增加缓存大小。在对象创建后缓存的动态变化，致使每次访问后端缓存都要重新计算缓存的长度。

对于类型数组的长度计算应该采取（byte_length - byte_offset）/element_size , 下面是对RAB长度计算：

相较于RAB对于byte_length和byte_offset的溢出检查，GSAB缺少整数溢出检查，在拥有沙箱内内存破坏的能力下，这两个值完全可控，当byte_offset大于byte_length, 其后端存储后的整个地址空间可控，完全突破V8沙箱，达到沙箱外内存读写。

创建GSAB (ab)对象，length为0x3000，maxByteLength为0x6000；创建类型数组Uint8Array (dv)，偏移值为0x2000 ；优化func函数根据提供的索引（i）给类型数组元素（dv[i]）赋值（0x88）。

打印类型数组对象（dv）以便于查看其后端存储指针，使用沙箱内写函数修改类型数组（dv）的偏移为0x8000（由于内存存储整数值为实际值的2倍，所以实际偏移为0x4000 ）。偏移值（0x4000）大于长度(0x3000) ,导致整数溢出，当使用超大的索引（0x10000000000）越界访问后端缓存时，计算的索引小于长度值，导致越界写。

可以看到类型数组（dv）的后端存储指针为0x316600002000：

V8沙箱的内存范围是在1TB的地址空间，程序在对0x326600002000沙箱外的不可写内存赋值（0x88）时出现崩溃：

Chrome before 123.0.6312.86