¿Cómo puedo ejecutar de forma segura algún código JS provisto por el usuario utilizando Java8 Nashorn?

El script extiende algunos cálculos para algunos informes basados ​​en servlets. La aplicación tiene muchos usuarios diferentes (no confiables). Los scripts solo deben poder acceder a un objeto Java y a los que devuelven los miembros definidos. De manera predeterminada, los scripts podrían crear una instancia de cualquier clase usando Class.forName () (usando .getClass () de mi objeto suministrado). ¿Hay alguna manera de prohibir el acceso a cualquier clase de Java que no haya sido explícitamente especificada por mí?