Ngôn ngữ kịch bản đơn giản, an toàn được triển khai trong JavaScript?

Question

Tôi muốn thực hiện một ngôn ngữ kịch bản để hỗ trợ một phần tự động hóa các tác vụ nhất định trên một wiki công cộng. Tôi không thể cài đặt bất cứ thứ gì như Google Caja trên máy chủ hoặc sửa đổi phần mềm wiki, nhưng tôi có thể cài đặt mã JavaScript để thực thi phía máy khách. Bởi vì mục đích của tôi là cho phép người dùng thông thường tạo và đăng các tập lệnh, việc sử dụng chính JavaScript không an toàn và có thể dẫn đến sự thỏa hiệp tài khoản.

Việc triển khai ngôn ngữ kịch bản đó có tồn tại hay không, liệu việc tạo ngôn ngữ đó có tương đối dễ dàng không? Trọng tâm của tôi là dễ xử lý văn bản, yêu cầu Ajax và triển khai.

Dưới đây là một nhiệm vụ dụ một kịch bản sẽ cần phải thực hiện, lấy từ Wikipedia's procedure for requesting article deletion:

1. Hãy hỏi người dùng cho tên của một trang wiki và một lý do chính đáng để xóa nó.
2. Nhận mã nguồn của trang đó, thêm thông báo xóa lên trên cùng và lưu văn bản mới.
3. Tạo trang mới (tên của trang này dựa trên tên của trang đầu tiên) bao gồm lý do xóa.
4. Nhận danh sách người dùng đã chỉnh sửa trang và thông báo cho trang đầu tiên (một lần nữa, bằng cách chỉnh sửa một trang cụ thể) mà trang mà anh đã tạo sắp bị xóa.

Answer 1

Dưới đây là việc triển khai Tcl trong javascript: Tcl in Javascript.

Đây là nguồn: tcl.js.

Và đây là mã thực hiện một giao diện điều khiển trực tiếp trong trình duyệt của bạn để chơi với: A little tcl.js console

Tcl có thể không tách trà của bạn nhưng việc thực hiện trông khá đơn giản dễ hiểu. Điều này chủ yếu là do chính tcl là một ngôn ngữ đơn giản. Bạn có thể sử dụng nó để lấy ý tưởng về cách triển khai các biến và chức năng.

Gợi ý: trong tcl, cấu trúc điều khiển là các hàm để xem xét nơi các hàm dựng sẵn được triển khai để xem triển khai thực hiện, trong khi và foreach.

Answer 2

Bạn chỉ có thể sandbox; có nghĩa là, phạm vi trong một vài biến quan trọng để mã của người dùng không thể truy cập các đối tượng không an toàn.

var execSandboxedJS = function (jsCode) { 
    var window = document.getElementById('myRootElement'); 
    var document = window; 
    eval(jsCode); 
}; 

Mặc dù, cho phép mã người dùng thực hiện yêu cầu ajax, bản thân, vốn không an toàn. Tôi sẽ xem xét lại sự tỉnh táo của dự án nếu đó là điều được kêu gọi.

Answer 3

Douglas Crockford ADsafe được coi là một tập con JavaScript an toàn.

Nó bao gồm thư viện thời gian chạy (~ 20 KB rút gọn) và trình xác minh (bao gồm trong JSLint). Nếu Crockford phải bỏ "Phần mềm sẽ được sử dụng cho Tốt, không phải Ác ma" từ giấy phép, cả hai thành phần sẽ là các chương trình nguồn mở tương thích với GPL.

Vì JSLint là một chương trình JavaScript, nó có thể xác minh hoàn toàn tập lệnh người dùng trong trình duyệt web. Điều này trái ngược với Google Caja, được viết bằng Java.