在 ROBLOX Lua 中,我正在编写一个涉及用户创建和运行 Lua 脚本的游戏。显然,我需要阻止使用某些服务和功能,例如 Player 类上的 Kick 功能,或者与 DataStore 或 TeleportService 相关的任何东西。
到目前为止,我已经成功地通过使用 setfenv 将函数的环境设置为附加到“沙盒”表的元表来创建沙盒环境。在 __index 上,如果在沙盒表中没有找到任何内容,则它在真实环境中看起来就像正常情况一样。这使我可以将假函数放入沙盒表中,而不是使用它们的真实对应函数。
但是,假设我对 ClearAllChildren 函数进行了沙盒化。玩家可以通过这样做轻松逃离沙盒:
someObject.Parent.someObject:ClearAllChildren()
这是因为获取实例的 Parent 为他们提供了真实版本,而不是沙盒版本。这个缺陷也可以通过许多其他方式消除。
所以我做了一个对象包装器。在实例上调用 wrap(obj) 会返回一个使用 newproxy(true) 创建的假版本。其元表的 __index 确保对象的任何子对象(或实例属性,例如 Parent)将返回一个包装的版本。
我的问题可能与我设置包装器的方式有关。尝试在沙箱内的对象上调用任何方法,如下所示:
x = someObject:GetChildren()
导致以下错误:
Expected ':' not '.' calling member function GetChildren
这是目前我的沙箱的完整代码:
local _ENV = getfenv(); -- main environment
-- custom object wrapper
function wrap(obj)
if pcall(function() return obj.IsA end) then -- hacky way to make sure it's real
local realObj = obj;
local fakeObj = newproxy(true);
local meta = getmetatable(fakeObj);
meta['__index'] = function(_, key)
-- TODO: logic here to sandbox wrapped objects
return wrap(realObj[key]) -- this is likely the source of method problem
end;
meta['__tostring'] = function()
return realObj.Name or realObj;
end;
meta['__metatable'] = "Locked";
return fakeObj;
else
return obj;
end;
end;
-- sandbox table (fake objects/functions)
local sandbox = {
game = wrap(game);
Game = wrap(Game);
workspace = wrap(workspace);
Workspace = wrap(Workspace);
script = wrap(script);
Instance = {
new = function(a, b)
return wrap(Instance.new(a, b))
end;
};
};
-- sandboxed function
function run()
print(script.Parent:GetChildren())
print(script.Parent)
script.Parent:ClearAllChildren()
end;
-- setting up the function environment
setfenv(run, setmetatable(sandbox, {__index = _ENV;}));
run();
我怎样才能解决这个问题?