Linguaggio di scripting semplice e sicuro implementato in JavaScript?

Question

Vorrei implementare un linguaggio di scripting per assistere parzialmente nell'automazione di determinate attività su un wiki pubblico. Non riesco ad installare nulla come Google Caja sul server o modificare il software wiki stesso, ma posso installare codice JavaScript per l'esecuzione lato client. Poiché il mio intento è di consentire agli utenti ordinari di creare e pubblicare script, l'utilizzo di JavaScript non è sicuro e potrebbe portare a compromessi sull'account.

Esiste un'implementazione del linguaggio di scripting o, in caso contrario, è relativamente facile da creare? Il mio obiettivo è la semplicità dell'elaborazione del testo, le richieste Ajax e l'implementazione.

Ecco un compito esempio uno script avrebbe bisogno di eseguire, tratto da Wikipedia's procedure for requesting article deletion:

1. chiedere all'utente per il nome di una pagina wiki e un buon motivo per eliminarlo.
2. Ottieni il codice sorgente di quella pagina, aggiungi una notifica di eliminazione in alto e salva il nuovo testo.
3. Creare una nuova pagina (il suo nome in base al nome della prima pagina) che include il motivo dell'eliminazione.
4. Ottenere l'elenco degli utenti che hanno modificato la pagina e notificare il primo (ancora, modificando una pagina specifica) che la pagina da lui creata sta per essere eliminata.

Answer 1

Ecco un'implementazione di Tcl in javascript: Tcl in Javascript.

Ecco la fonte: tcl.js.

Ed ecco codice che implementa una console dal vivo nel tuo browser per giocare con: A little tcl.js console

Tcl non può essere la vostra tazza di tè, ma la realizzazione sembra abbastanza semplice semplice. Questo è principalmente dovuto al fatto che tcl stesso è un linguaggio così semplice. Puoi usarlo per avere idee su come implementare variabili e funzioni.

Suggerimento: in tcl, le strutture di controllo sono funzioni in modo da osservare dove sono implementate le funzioni integrate per vedere l'implementazione di for, while e foreach.

Answer 2

Si potrebbe semplicemente sandbox; vale a dire, ambito in un paio di variabili chiave in modo che il codice dell'utente non è in grado di accedere agli oggetti non sicuri.

var execSandboxedJS = function (jsCode) { 
    var window = document.getElementById('myRootElement'); 
    var document = window; 
    eval(jsCode); 
}; 

Anche se, permettendo codice utente per effettuare richieste Ajax è, di per sé, intrinsecamente pericolosi. Vorrei riconsiderare la sanità mentale del progetto se è quello che è richiesto.

Answer 3

Si suppone che Douglas Crockford ADsafe sia un sottoinsieme sicuro di JavaScript.

Consiste in una libreria di runtime (~ 20 KB minificata) e un verificatore (incluso in JSLint). Se Crockford dovesse abbandonare "The Software shall be used for Good, not Evil" dalla licenza, entrambi i componenti sarebbero programmi open source compatibili GPL.

Poiché JSLint è un programma JavaScript, è in grado di verificare gli script utente interamente all'interno del browser web. Questo è in contrasto con Google Caja, che è scritto in Java.