1

当 javascript 在浏览器中运行时,无需尝试隐藏函数代码,因为它已下载并可以在源代码中查看。

在服务器上运行时,情况会发生变化。有一些用例,例如 api,您希望为用户提供要调用的函数,而不允许他们查看正在运行的代码。

在我们的特定情况下,我们希望在节点内执行用户提交的 javascript。我们可以对 node.js api 进行沙箱处理,但是我们希望将我们自己的 api 添加到这个沙箱中,而用户无法通过 toString 函数来查看正在运行的代码。

有没有人有模式或知道阻止用户输出功能代码的方法?

更新:

这是基于以下公认答案的完整解决方案(我相信)。请注意,尽管这是使用客户端代码演示的。您不会使用此客户端,因为有人可以通过简单地阅读下载的代码来查看隐藏函数的内容(尽管如果您使用了 minify,它可能会降低检查代码的速度)。

这适用于服务器端使用,您希望允许用户在沙箱环境中运行 api 代码,但不允许他们查看 api 的作用。这段代码中的沙箱只是为了说明这一点。它不是一个实际的沙盒实现。

// function which hides another function by returning an anonymous
// function which calls  the hidden function (ie. places the hidden
// function in a closure to enable access when the wraped function is passed to the sandbox) 
function wrapFunc(funcToHide) {
  var shownFunc = function() {
    funcToHide();
  };
  return shownFunc;
}

// function whose contents you want to hide
function secretFunc() {
  alert('hello');            
}

// api object (will be passed to the sandbox to enable access to
// the hidden function)
var apiFunc = wrapFunc(secretFunc);
var api = {};
api.apiFunc = apiFunc;

// sandbox (not an actual sandbox implementation - just for demo)
(function(api) {
  console.log(api);
  alert(api.apiFunc.toString());
  api.apiFunc();
})(api);
4

1 回答 1

5

如果将回调包装在函数中,则可以在该范围内使用实际上隐藏在回调范围之外的另一个函数,因此:

function hideCall(funcToHide) {
    var hiddenFunc = funcToHide;
    var shownFunc = function() {
        hiddenFunc();
    };
    return shownFunc;
}

然后就这样跑

var shtumCallBack = hideCall(secretSquirrelFunc);
userCode.tryUnwindingThis(shtumCallBack);

userCode 范围将无法访问secretSquirrelFunc,除非调用它,因为它需要的范围hideCall是不可用的函数的范围。

于 2012-10-09T12:33:19.537 回答