当 javascript 在浏览器中运行时,无需尝试隐藏函数代码,因为它已下载并可在源代码中查看。
当在服务器上运行时,情况会发生变化。在某些用例(例如 api)中,您希望向用户提供要调用的函数,但不允许他们查看运行的代码。
在我们的具体情况下,我们希望在 Node 内执行用户提交的 javascript。我们能够对 Node.js api 进行沙箱处理,但是我们希望将自己的 api 添加到此沙箱中,而用户无法通过 toString 函数来查看运行的代码。
有人知道阻止用户输出函数代码的模式或方法吗?
更新:
这是一个基于下面接受的答案的完整解决方案(我相信)。请注意,尽管这是使用客户端代码进行演示的。您不会不会使用此客户端,因为有人只需阅读下载的代码就可以看到隐藏函数的内容(尽管如果您使用了 minify,它可能会降低检查代码的速度) .
这适用于服务器端使用,您希望允许用户在沙箱环境中运行 api 代码,但不允许他们查看 api 的功能。此代码中的沙箱只是为了演示这一点。它不是一个实际的沙箱实现。
// function which hides another function by returning an anonymous
// function which calls the hidden function (ie. places the hidden
// function in a closure to enable access when the wraped function is passed to the sandbox)
function wrapFunc(funcToHide) {
var shownFunc = function() {
funcToHide();
};
return shownFunc;
}
// function whose contents you want to hide
function secretFunc() {
alert('hello');
}
// api object (will be passed to the sandbox to enable access to
// the hidden function)
var apiFunc = wrapFunc(secretFunc);
var api = {};
api.apiFunc = apiFunc;
// sandbox (not an actual sandbox implementation - just for demo)
(function(api) {
console.log(api);
alert(api.apiFunc.toString());
api.apiFunc();
})(api);
最佳答案
如果将回调包装在函数中,则可以在该作用域中使用实际上隐藏在回调作用域中的另一个函数,因此:
function hideCall(funcToHide) {
var hiddenFunc = funcToHide;
var shownFunc = function() {
hiddenFunc();
};
return shownFunc;
}
然后就这样运行
var shtumCallBack = hideCall(secretSquirrelFunc);
userCode.tryUnwindingThis(shtumCallBack);
除了调用 secretSquirrelFunc 之外,userCode 作用域将无法访问它,因为它需要的作用域是不可用的 hideCall 函数的作用域。
关于api - Node.js 阻止函数检查 (toString),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12799996/