Lua的能力：有哪些经验？

对于 Lua 我无法说什么，但对于 Javascript，Caja 有工具来创建一个适当的沙盒，限制只能访问某些函数。它最初是为 HTML/JS 小部件（如 iGoogle 上使用的小部件）构建沙盒而创建的。

http://code.google.com/p/google-caja/

以下是他们主页上关于该项目的描述：

Caja（发音为“KA-ha”）是西班牙语单词，意思是盒子、银行、收银台、保险库；一种用于贵重物品的容器。Web 开发人员使用传统工具如 HTML、JavaScript 和 CSS；而 Caja 提供一个编译器（称为“cajoler”），它接收 Web 应用程序并生成一个“cajoled” HTML Web 应用程序。Cajoler 尝试通过静态分析验证安全属性，对于不能验证的部分，会对输入进行重写以添加运行时检查。

由于 Web 应用程序常常使用浏览器 API，例如 DOM API，这些 API 给予了对 Web 页面的大量控制权力，Caja 提供了被驯服的 API 来虚拟 DOM 的不同部分。一个包含页面可以设置嵌入式应用程序的环境，使嵌入式应用程序认为它正在与完整页面的 DOM 交互，但实际上只是通过一种称为虚拟 iframe 的机制来操纵包含页面的受限部分。

Caja 应用程序使用的 JavaScript 是在一种故障停止的 JavaScript 子集（实际上是 EcmaScript5）中编写的。这个子集称为“Valija”，包括几乎整个 JavaScript 语言，但删除了一些易错的结构，例如 with，并限制了 eval 的使用方式。