W jaki sposób mogę bezpiecznie uruchomić kod JS dostarczony przez użytkownika za pomocą Java8 Nashorn?

Skrypt rozszerza niektóre obliczenia dla niektórych raportów opartych na serwletach. Aplikacja ma wielu różnych (niezaufanych) użytkowników. Skrypty powinny mieć dostęp tylko do obiektu Java i do obiektów zwróconych przez zdefiniowanych członków. Domyślnie skrypty mogą tworzyć instancje każdej klasy przy użyciu Class.forName () (przy użyciu .getClass () mojego podanego obiektu). Czy jest jakiś sposób na zakazanie dostępu do jakiejkolwiek klasy java, która nie została przeze mnie wyraźnie określona?