问Rails应用程序中的沙箱JS执行

EN

背景

我正在构建一个Rails应用程序，允许用户上传将在服务器上执行的自定义JavaScript。此自定义脚本用于定义API响应上的字段。下面的列表描述事件的顺序。

1. 用户通过POST将HTTPS请求发送到应用程序API。
2. API控制器制定JSON响应
3. 执行用户的脚本，并将输出保存为JSON响应上的字段
4. API响应被发送

下面的方法用于脚本执行。script_body包含用户的自定义JavaScript，并作为属于用户的对象上的文本字段保存在DB中。

def run_script
  begin
    Timeout::timeout(2) { script_output = ExecJS.exec(script_body).to_s }
  rescue => e
    logger.info  "Script failed: #{e.message}"
    script_output = "(Script failed with the following error: #{e})"
  end
end

问题

我想知道如何最好地对JS脚本的执行进行沙箱，以减轻在服务器上执行用户脚本的安全性问题。我想知道以下建议的方法：

• 确保JS脚本不能访问服务器上的任何文件
• 阻止脚本访问Rails应用程序或DB
• 防范任何其他恶意活动(我不是专家，所以请原谅缺乏细节)
• 保持合理的性能(需要在API调用中执行)

其他信息

我试图在Ruby应用程序中找到一些沙箱JS执行的例子，但没有发现多少。我看过以下创业板(https://github.com/tario/shikashi)。但是，这似乎只是Ruby代码的沙箱。我担心我会为ExecJS.exec提供执行特权，这样JS就可以做它想做的任何事情。我不确定这是不是最好的方法。