Простой, безопасный язык сценариев, реализованный в JavaScript?

Question

Я хотел бы реализовать язык сценариев, чтобы помочь частично автоматизировать определенные задачи в общедоступной вики. Я не могу установить на сервере ничего такого, как Google Caja, или изменить собственное программное обеспечение вики, но я могу установить код JavaScript для выполнения на стороне клиента. Поскольку я хочу, чтобы обычные пользователи могли создавать и публиковать скрипты, использование самого JavaScript небезопасно и может привести к компрометации учетной записи.

Существует ли такая реализация языка сценариев, а если нет, ее относительно легко создать? Мое внимание сосредоточено на простоте обработки текста, запросах Ajax и реализации.

Вот пример задачи сценария необходимо будет выполнить, взятые из Wikipedia's procedure for requesting article deletion:

1. Попросите пользователя для имени страницы вики и хороший повод, чтобы удалить его.
2. Получите исходный код этой страницы, добавьте уведомление об удалении вверху и сохраните новый текст.
3. Создайте новую страницу (ее имя, основанное на имени первой страницы), которое включает в себя причину удаления.
4. Получите список пользователей, которые отредактировали страницу и уведомили первую (опять же, отредактировав конкретную страницу), что созданная им страница будет удалена.

Answer 1

Вот реализация Tcl в javascript: Tcl in Javascript.

Вот этот источник: tcl.js.

А вот код, реализующий живой консоли в вашем браузере, чтобы играть с: A little tcl.js console

Tcl не может быть ваша чашка чая, но реализация выглядит довольно простой прямой. Это в основном потому, что сам tcl - такой простой язык. Вы можете использовать его, чтобы получить представление о том, как реализовать переменные и функции.

Подсказка: в tcl структуры управления являются функциями, поэтому посмотрите, где реализованы встроенные функции, чтобы увидеть реализацию for, while и foreach.

Answer 2

Вы могли бы просто песочницу; то есть область в нескольких ключевых переменных, чтобы код пользователя не мог получить доступ к небезопасным объектам.

var execSandboxedJS = function (jsCode) { 
    var window = document.getElementById('myRootElement'); 
    var document = window; 
    eval(jsCode); 
}; 

Хотя, позволяя пользовательскому коду делать запросы ajax, сам по себе является небезопасным. Я бы пересмотрел здравый смысл проекта, если это то, что требуется.

Answer 3

Douglas Crockford's ADsafe должен быть защищенным подмножеством JavaScript.

Он состоит из библиотеки времени исполнения (~ 20 KB миниатюрный) и верификатора (входит в состав JSLint). Если Крокфорд должен был отказаться от «Программное обеспечение должно использоваться для Добра, а не Зла» из лицензии, оба компонента будут GPL-совместимыми программами с открытым исходным кодом.

Поскольку JSLint является программой JavaScript, он может полностью проверять пользовательские скрипты в веб-браузере. Это контрастирует с Google Caja, который написан на Java.