本文介绍一种不污染全局作用域、避免字符串拼接注入风险的安全方式,利用 `function` 构造函数动态创建具有指定变量绑定的执行环境,实现 `eval` 在受控局部作用域中的运行。
在 JavaScript 中,eval() 默认在当前作用域中执行代码,但无法直接传入一个“变量上下文对象”来限定其可见变量——eval().call(context) 是无效的,因为 eval 是特殊语法(非普通函数),不支持 call/apply 绑定作用域。
一个常见但危险的误区是拼接字符串构造 eval('var ' + name + ' = ' + JSON.stringify(value) + '; ...')。这种方式极易引发代码注入(如 value = '1; alert("xss")'),且无法正确处理复杂类型(函数、对象、undefined、NaN 等),也不支持 const/let 块级语义。
✅ 正确解法:使用 Function 构造函数创建沙箱化执行器
Function 构造函数接受参数名列表和函数体字符串,它会在新函数被调用时,动态创建一个独立的词法作用域,并将传入的参数自动绑定为同名局部变量——这正是我们所需的“可控局部上下文”。
核心技巧如下:
立即学习“Java免费学习笔记(深入)”;
function evalWithContext(script, context = {}) {
// 提取变量名(参数名)和值(参数值)
const keys = Object.keys(context);
const values = Object.values(context);
// 构造 Function:参数为所有变量名 + 'script',函数体中先屏蔽 script 变量,再 eval
const evaluator = Function(
...keys,
'script',
'return eval("script = undefined;" + script);'
);
// 调用时传入对应值 + script 字符串
return evaluator(...values, script);
}
// 使用示例
const userVars = { x: 1, y: 2, z: [3, 4] };
const result = evalWithContext('x + y + z.length', userVars);
console.log(result); // → 5? 关键细节说明:
- 'script = undefined;' 是防御性写法:防止用户脚本意外读取或覆盖 script 参数(因 script 是显式参数名,若用户代码含 script = 10 会污染参数,赋值为 undefined 可提前隔离);
- Function 创建的函数不共享外部闭包,完全依赖传入参数,天然隔离全局/外部变量,安全性远高于 eval;
- 所有变量值通过参数传递,支持任意 JS 类型(对象、函数、Symbol、undefined 等),无需序列化/反序列化;
- 不修改 window、不使用 with(已废弃且禁用)、不依赖 vm 模块(Node.js 专属),纯浏览器/Node.js 通用。
⚠️ 注意事项:
- Function 构造函数仍属于动态代码执行,不应执行不可信来源的 script;它解决的是“作用域控制”问题,而非“信任问题”;
- 若需更严格隔离(如禁止访问 this、arguments 或内置对象),应配合 vm(Node.js)或
- 避免在循环中高频调用 evalWithContext,因每次都会重新编译函数(可缓存 evaluator 实例优化性能)。
总结:当必须动态执行用户提供的表达式且需限定变量范围时,Function 构造函数是比 eval + 字符串拼接或全局污染更安全、更规范的替代方案——它用标准语言机制实现了真正的局部作用域注入。
