我正在开发 react-metaform,我的挑战之一是我需要允许最终用户将元数据定义为函数。示例:
socialSecurityNumber.required: (m) => m.type == 'person'
问题很明显:我不能信任用户。所以,这些是我计划采取的预防措施:
问题是:如何确保用户定义的函数仅访问其参数而不访问其他内容?
我会使用 esprima 来解析用户存储在文件或数据库中的 JavaScript 函数。我只允许运行通过解析测试的代码(仅白名单功能 - 使用局部变量、参数……)。
您可以从一个非常简单的检查代码开始,该代码只允许非常有限的脚本,然后逐步改进它。但是,我想随着时间的推移,您会在解决方案上投入大量精力,因为您的用户总是想要更多。
注意: Angular.js 使用这种“技巧”进行依赖注入:https://jsfiddle.net/987Lwezy/
function test() {
console.log("This is my secret!");
}
function parser(f) {
document.body.innerHTML = test.toString();
}
parser(test);
您可以使用https://github.com/lcrespom/purecheck。有一段时间没有更新了,但似乎支持你所需要的。
对于仍在寻找解决方案的人,我公开了我的 is-function-pure 存储库 检测 JavaScript 函数是否是纯函数。您可以尝试一下,如有任何反馈,我们将不胜感激。