Wie kann ich mit Java8 Nashorn von Benutzern bereitgestellten JS-Code sicher ausführen?

Das Skript erweitert einige Berechnungen für einige servletbasierte Berichte. Die App hat viele verschiedene (nicht vertrauenswürdige) Benutzer. Die Skripte sollten nur auf ein Java-Objekt und die von den definierten Mitgliedern zurückgegebenen zugreifen können. Standardmäßig können die Skripte mithilfe von Class.forName () (mithilfe von .getClass () meines bereitgestellten Objekts) jede Klasse instanziieren. Gibt es eine Möglichkeit, den Zugriff auf eine von mir nicht explizit angegebene Java-Klasse zu verbieten?