当在浏览器中运行javascript时,无需尝试隐藏功能代码,因为它是在源代码中下载和查看的。
在服务器上运行时情况会发生变化。有一些用例,例如api,你想为用户提供调用函数,而不允许他们查看运行的代码。
在我们的具体情况下,我们希望在节点内执行用户提交的javascript。我们可以使用sandbox node.js api但是我们想要将自己的api添加到这个沙箱中,而用户无法使用该函数来查看运行的代码。
有没有人有模式或知道阻止用户输出功能代码的方法?
更新
以下是基于下面接受的答案的完整解决方案(我相信)。请注意,尽管使用客户端代码证明了这一点。您将不使用此客户端,因为有人可以通过简单地阅读下载的代码来查看隐藏功能的内容(尽管如果您使用了minify,它可能会提供一些基本的减速来检查代码)
这适用于服务器端用途,您希望允许用户在沙箱环境中运行api代码,但不允许用户查看api的功能。此代码中的沙箱只是为了证明这一点。它不是一个真正的沙盒实现。
// function which hides another function by returning an anonymous
// function which calls the hidden function (ie. places the hidden
// function in a closure to enable access when the wraped function is passed to the sandbox)
function wrapFunc(funcToHide) {
var shownFunc = function() {
funcToHide();
};
return shownFunc;
}
// function whose contents you want to hide
function secretFunc() {
alert('hello');
}
// api object (will be passed to the sandbox to enable access to
// the hidden function)
var apiFunc = wrapFunc(secretFunc);
var api = {};
api.apiFunc = apiFunc;
// sandbox (not an actual sandbox implementation - just for demo)
(function(api) {
console.log(api);
alert(api.apiFunc.toString());
api.apiFunc();
})(api);
答案 0 :(得分:5)
如果在函数中包装回调,则可以在该范围内使用另一个实际上从回调范围隐藏的函数,因此:
function hideCall(funcToHide) {
var hiddenFunc = funcToHide;
var shownFunc = function() {
hiddenFunc();
};
return shownFunc;
}
然后运行
var shtumCallBack = hideCall(secretSquirrelFunc);
userCode.tryUnwindingThis(shtumCallBack);
除了调用它之外,userCode范围将无法访问secretSquirrelFunc
,因为它需要的范围是hideCall
函数的范围,该函数不可用。