17370845950

本文介绍一种不污染全局作用域、避免字符串拼接注入风险的安全方式，利用 `function` 构造函数动态创建具有指定变量绑定的执行环境，实现 `eval` 在受控局部作用域中的运行。

在 JavaScript 中，eval() 默认在当前作用域中执行代码，但无法直接传入一个“变量上下文对象”来限定其可见变量——eval().call(context) 是无效的，因为 eval 是特殊语法（非普通函数），不支持 call/apply 绑定作用域。

一个常见但危险的误区是拼接字符串构造 eval('var ' + name + ' = ' + JSON.stringify(value) + '; ...')。这种方式极易引发代码注入（如 value = '1; alert("xss")'），且无法正确处理复杂类型（函数、对象、undefined、NaN 等），也不支持 const/let 块级语义。

✅ 正确解法：使用 Function 构造函数创建沙箱化执行器
Function 构造函数接受参数名列表和函数体字符串，它会在新函数被调用时，动态创建一个独立的词法作用域，并将传入的参数自动绑定为同名局部变量——这正是我们所需的“可控局部上下文”。

核心技巧如下：

立即学习“Java免费学习笔记（深入）”；

function evalWithContext(script, context = {}) {
  // 提取变量名（参数名）和值（参数值）
  const keys = Object.keys(context);
  const values = Object.values(context);

  // 构造 Function：参数为所有变量名 + 'script'，函数体中先屏蔽 script 变量，再 eval
  const evaluator = Function(
    ...keys,
    'script',
    'return eval("script = undefined;" + script);'
  );

  // 调用时传入对应值 + script 字符串
  return evaluator(...values, script);
}

// 使用示例
const userVars = { x: 1, y: 2, z: [3, 4] };
const result = evalWithContext('x + y + z.length', userVars);
console.log(result); // → 5

? 关键细节说明：

• 'script = undefined;' 是防御性写法：防止用户脚本意外读取或覆盖 script 参数（因 script 是显式参数名，若用户代码含 script = 10 会污染参数，赋值为 undefined 可提前隔离）；
• Function 创建的函数不共享外部闭包，完全依赖传入参数，天然隔离全局/外部变量，安全性远高于 eval；
• 所有变量值通过参数传递，支持任意 JS 类型（对象、函数、Symbol、undefined 等），无需序列化/反序列化；
• 不修改 window、不使用 with（已废弃且禁用）、不依赖 vm 模块（Node.js 专属），纯浏览器/Node.js 通用。

⚠️ 注意事项：

• Function 构造函数仍属于动态代码执行，不应执行不可信来源的 script；它解决的是“作用域控制”问题，而非“信任问题”；
• 若需更严格隔离（如禁止访问 this、arguments 或内置对象），应配合 vm（Node.js）或
• 避免在循环中高频调用 evalWithContext，因每次都会重新编译函数（可缓存 evaluator 实例优化性能）。

总结：当必须动态执行用户提供的表达式且需限定变量范围时，Function 构造函数是比 eval + 字符串拼接或全局污染更安全、更规范的替代方案——它用标准语言机制实现了真正的局部作用域注入。