本文介绍一种安全、可控的方式,让 `eval` 在自定义变量环境中执行代码,避免字符串拼接和全局污染,核心是利用 `function` 构造函数动态创建作用域封闭的执行函数。
在 JavaScript 中,直接使用 eval() 执行用户输入的表达式时,若需支持动态变量(如 {name: 'x', value: 1}),又不希望污染全局作用域或引入代码注入风险,传统做法(如字符串拼接 eval('var x = ' + JSON.stringify(val)))极不安全——它可能执行任意代码,破坏数据隔离性。
正确思路是:不操作 eval 本身(它始终在当前作用域执行),而是借助 Function 构造函数创建一个具有显式参数列表的新函数,将变量“提升”为形参,从而天然获得词法作用域隔离。
✅ 安全实现原理
Function(...args, body) 创建的函数拥有独立的作用域,其参数名即为可用变量名。我们可将所有变量名作为参数传入,再在函数体中调用 eval() —— 此时 eval 将在该函数的局部作用域内解析,自然访问到这些参数:
function evalWithContext(script, context) {
const keys = Object.keys(context);
const values = Object.values(context);
// 构建函数:参数为变量名,函数体为 'return eval(...)'
// 注意:添加 'script = undefined;' 防止 script 变量被意外覆盖或干扰
const evaluator = Function(
...keys,
'script',
'return eval("script = undefined;" + script);'
);
return evaluator(...values, script);
}
// 使用示例
const userVars = { x: 10, y: 20, z: 5 };
const result = evalWithContext('x * y + z', userVars);
console.log(result); // 205⚠️ 关键注意事项
- eval 仍存在固有风险:即使作用域受控,只要 script 内容不可信(如来自用户输入),仍可能执行恶意逻辑(如 fetch('/api/delete'))。务必确保 script 是白名单表达式,或配合 AST 解析器做语法级校验。
- 禁止传入敏感对象:不要将 window、document、localStorage 或任何含原型方法的对象注入 context,否则可能通过 constructor 等链路逃逸作用域。
- 性能考量:Function 构造函数每次调用都会生成新函数,高频场景建议缓存编译后的 evaluator(按 script 模板哈希缓存)。
- 严格模式兼容:Function 创建的函数默认启用严格模式,因此 with 语句、arguments.callee 等将失效,符合现代最佳实践。
✅ 进阶:支持 this 绑定与错误定位
若需更清晰的错误堆栈,可包装一层 try/catch 并重抛带上下文信息的错误:
立即学习“Java免费学习笔记(深入)”;
function evalWithContext(script, context) {
const keys = Object.keys(context);
const values = Object.values(context);
const evaluator = Function(
...keys,
'script',
`try { return eval("script = undefined;" + script); }
catch (e) { throw new Error(\`Eval error in \${script}: \${e.message}\`); }`
);
return evaluator(...values, script);
}综上,Function 构造函数是唯一能真正实现「动态变量 + 局部作用域 + 无全局污染」三者兼顾的标准方案。它比 with(已废弃)、vm 模块(Node.js 专属)或 Proxy 拦截 eval(无法生效)更可靠、更通用,是前端沙箱化表达式求值的基石技术。
