JS Битва
как я написал свой eval()
Коротаев Александр
- Фронтенд разработчик в Tinkoff.ru
- Spb-frontend
- подкаст Drinkcast
Технологии
- Phaser
- Ace Editor
- RxJS
- Preact
- Workers, WebSocket
Мотивация
- Все хотят сражаться
- Крутой стенд
- Геймификация
Геймификация
История
о нехватке времени
Немного цифр
- 5 минут на идею
- 4 часа в день
- всего 3 недели
Первая реализация
- Phaser
- Ace editor
- Node.js
Основные модули
- Renderer
- JS Sandbox
- State sharing
- Server – source of truth
Итак, песочница
- Изоляция
- API юнитов
- Асинхронный код
Асинхронность:☹️
goTo(5, 0)
.then(() => attack())
.then(() => goTo(5, 0))
.then(() => attack())
Асинхронность:😀
await goTo(5, 0)
await attack()
await goTo(5, 0)
await attack()
Асинхронность:❤️️
goTo(5, 0)
attack()
goTo(5, 0)
attack()
Интерпретация
eval() + with?
- исполняет код из строки
- в текущем контексте
Harmful code
- while (true) {}
- for (i++) {}
- alert()
- prompt()
eval()
Workers + with + Proxy
Workers!
Hello Worker
const worker = new Worker('script.js')
setTimeout(() => worker.close(), 1000)
script.js
onmessage = (message) => {
postMessage(message)
}
Код из строки
const customCode = 'attack()'
const blob = new Blob([customCode], {...})
const codeUrl = URL.createObjectURL(blob)
const worker = new Worker(codeUrl)
setTimeout(() => worker.terminate(), 1000)
Unit Api
goTo(5, 0)
for(i = 0; i < 10; i++) {
shoot(unitId)
}
with?
with(unitApi) {
goTo(5, 0)
for(i = 0; i < 10; i++) {
shoot(unitId)
}
}
eval()
- eval()
- setTimeout()
- new Function()
- new 4..__proto__.constructor.__proto__.constructor()
JS Scopes
Proxy + scopes
Как работает with
with({foo: 'bar'}) {
foo
}
'foo' in obj
? obj.foo
: global.foo
with + Proxy
const safeApi = new Proxy(unitApi, {
has: () => true
})
with(safeApi) {
${userCode}
}
with + Proxy = ❤️
- > eval()
- >> eval in unitApi?
- << true!
- undefined is not a function!
А так можно 0_о
with ([1, 2, 3]) {
filter(i => i !== 3)
.some(i => i === 3)
}
// false
И даже так
with ({hello: 'HolyJS'}) {
valueOf()
}
// {hello: 'HolyJS'}
Symbol.unscopables
const safeApi = new Proxy(unitApi, {
has: () => true,
get: (target, key) =>
key === Symbol.unscopables ? undefined : target[key]
})
Окружение Worker
- this
- self
- postMessage()
- onmessage
- fetch()
- FileApi
- ...
Асинхронность
Unit api:
goTo(x, y) {
return {type: 'goTo', x, y}
}
Результат Worker
actions = [
{type: 'goTo', x, y},
{type: 'shoot', id},
{type: 'goTo', x, y}
]
Изолированные Workers
- Каждый юнит имеет изолированный поток
- Ели код юнита упал, остальные продолжают работать
История
разрушительный Math.random()
Пример кода
const ids = ['IE', 'DART', 'EVAL'];
for(i = 0; i < 10; i++) {
shoot(ids[(ids.length * Math.random())|0])
}
Проблема random()
(ids.length * Math.random())|0
(ids.length * Math.random())|0
(ids.length * Math.random())|0
Проблема random()
100 / 200
200 / 100
300 / 10
Проблема random()
- Разная битва у всех клиентов
- Разные результаты
- Крики "нечестно"
- ...вилы и факелы!
Подсолим random()
- Нужно найти уникальную "соль"
- Но одинаковую в рамках одного боя
- Всегда разную при изменении кода
- Чтобы никто ничего не заподозрил =)
Функция
// LCG – Линейный конгруэнтный метод
function LCG(seed) {
return function() {
seed = Math.imul(16807, seed) | 0 % 2147483647
return (seed & 2147483647) / 2147483648
}
}
Соль?
const getRandomSalt = (seed) =>
[...seed].reduce((acc, curr) =>
acc + curr.charCodeAt(0), 0) % 2147483647
const salt = getRandomSalt(userCode)
Math.random = LCG(salt)
State sharing
RxJS, сервер и клиенты
Есть 4 роли
- Left player
- Right player
- Watcher
- Admin
Источник истины
RxJS на сервере
RxJS на сервере
leftIsReady$ = socket$.pipe(filter(...))
rightIsReady$ = socket$.pipe(filter(...))
forkJoin(leftIsReady$, rightIsReady$)
.subscribe(() => {
this.setState({mode: 'ready'})
})
Фильтрация стейта
- Игроки не могут менять стейт друг у друга
- Зритель не может менять стейт
- Админ может все =)
Роли
class LeftPlayer extends Client {}
class RightPlayer extends Client {}
class Watcher extends Client {}
class Admin extends Client {}
Connections Pool
class Client {
connections = new Set()
onUnsafeMessage$ = new Subject()
}
Игрок
class LeftPlayer extends Client {
get onMessage$() {
return this.onUnsafeMessage$
.pipe(
filter(query => query.type === 'state'),
map(state => ({left: state.left}))
)
}
Комната
class Room {
onState$ = this.clients.onMessage$
.pipe(filter(query => query.type === 'state'))
constructor() {
this.onState$.subscribe(state =>
this.setState(state))
}
RxJS на клиенте
-
емитит события из соккета
-
можно подписываться только на конкретные ветки стейта
RxJS на клиенте
rightArmyChanges$ = socket$.pipe(
filter(state => !!state.right),
pluck('right', 'army')
)
.subscribe(enemyArmy => {
this.setState({right: {army: enemyArmy}})
})
RxJS на клиенте
rightArmyChanges$
.subscribe(army => this.setRightArmy(army))
rightNameChanges$
.subscribe(name => this.setRightName(name))
История
из синглплеера в мультиплеер
и снова за 3 недели
Список лидеров
JS Gamedev
и его проблемы
В обычном вебе
-
Не нравится авторизация?
-
Компонент ввода по маске не подходит?
-
Всплывающие окна не так всплывают?
Не беда, в течение рабочего дня можно написать все свое
В JS gamedev
- Phaser -> + 5Мб в бандле
- Плагины для него не умеют в webpack
- В gamedev вообще мало что умеет в webpack и TS
- Нативные технологии экономически нецелесообразны
Типы игроков
кто они и как с ними подружиться
Итак, почти готово
Исследователи
- Самые приятные
- Находят, додумывают, предлагают
Рядовые игроки
- Приходят ради фана
- Могут даже не замечать багов
Собиратели багов
- С ними очень непросто
- Порождают массу критики
- У них не работает практически все
Тестируем
только на живых людях
Тестирование
- Покажет что скрыто
- Укажет что не работает
- Перенаправит фокус разработки
- И конечно даст мощнейшего пинка
Итоги
правило 80 / 20
пишите только демки
???
