<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2016-02-16 15:51 GMT+01:00 Coroutines <span dir="ltr"><<a href="mailto:coroutines@gmail.com" target="_blank">coroutines@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div id=":3yy" class="" style="overflow:hidden">Having the ability to derive from "global" (only in Node) and<br>
prepare an Object to run an function within as its global context<br>
would be an invaluable ability. (imo)</div></blockquote></div><br><br><span class="im"><div class="gmail_extra"></div></span><div class="gmail_extra">It seems like an obvious idea, but in fact it's almost impossible to secure - consider `true.constructor.constructor("alert('XSS')")()`<br></div><div class="gmail_extra">ECMAScript
 lacks secure sandbox that would work in every browser, but such limited
 scope manipulation is totally useless as "secure sandbox".<br><br></div><div class="gmail_extra">BTW, such limited scope manipulation is already possible, see how my library works there - <a href="https://github.com/Ginden/reflect-helpers/blob/master/tests/closures.js#L14" target="_blank">https://github.com/Ginden/reflect-helpers/blob/master/tests/closures.js#L14</a> (it heavily uses `eval`).</div><br></div><div class="gmail_extra">Sending again because of wrong "to".<br><br></div></div>