Node.js阻止函数检查(toString)

时间:2012-10-09 12:25:00

标签: api node.js function tostring

当在浏览器中运行javascript时,无需尝试隐藏功能代码,因为它是在源代码中下载和查看的。

在服务器上运行时情况会发生变化。有一些用例,例如api,你想为用户提供调用函数,而不允许他们查看运行的代码。

在我们的具体情况下,我们希望在节点内执行用户提交的javascript。我们可以使用sandbox node.js api但是我们想要将自己的api添加到这个沙箱中,而用户无法使用该函数来查看运行的代码。

有没有人有模式或知道阻止用户输出功能代码的方法?

更新

以下是基于下面接受的答案的完整解决方案(我相信)。请注意,尽管使用客户端代码证明了这一点。您将使用此客户端,因为有人可以通过简单地阅读下载的代码来查看隐藏功能的内容(尽管如果您使用了minify,它可能会提供一些基本的减速来检查代码)

这适用于服务器端用途,您希望允许用户在沙箱环境中运行api代码,但不允许用户查看api的功能。此代码中的沙箱只是为了证明这一点。它不是一个真正的沙盒实现。

// function which hides another function by returning an anonymous
// function which calls  the hidden function (ie. places the hidden
// function in a closure to enable access when the wraped function is passed to the sandbox) 
function wrapFunc(funcToHide) {
  var shownFunc = function() {
    funcToHide();
  };
  return shownFunc;
}

// function whose contents you want to hide
function secretFunc() {
  alert('hello');            
}

// api object (will be passed to the sandbox to enable access to
// the hidden function)
var apiFunc = wrapFunc(secretFunc);
var api = {};
api.apiFunc = apiFunc;

// sandbox (not an actual sandbox implementation - just for demo)
(function(api) {
  console.log(api);
  alert(api.apiFunc.toString());
  api.apiFunc();
})(api);

1 个答案:

答案 0 :(得分:5)

如果在函数中包装回调,则可以在该范围内使用另一个实际上从回调范围隐藏的函数,因此:

function hideCall(funcToHide) {
    var hiddenFunc = funcToHide;
    var shownFunc = function() {
        hiddenFunc();
    };
    return shownFunc;
}

然后运行

var shtumCallBack = hideCall(secretSquirrelFunc);
userCode.tryUnwindingThis(shtumCallBack);

除了调用它之外,userCode范围将无法访问secretSquirrelFunc,因为它需要的范围是hideCall函数的范围,该函数不可用。