在 Javascript 中围绕 Function(） 创建沙箱

这是一个额外的想法，它可能与Esailija的提议一起非常强大（请参阅他对讨论答案的评论）。

您可以创建虚拟iframe并使用其Function功能。默认情况下，使用它创建的函数只能访问 iframe 的范围，尽管它仍然可以脱离它。幸运的是，按照Esailija的建议，很容易防止这种情况。

我可以想象函数是这样的：

function sandboxed(code) {
    var frame = document.createElement('iframe');
    document.body.appendChild(frame);
    var F = frame.contentWindow.Function,
        args = Object.keys(frame.contentWindow).join();
    document.body.removeChild(frame);
    return F(args, code)();
}

演示

（可选）您可能希望在代码前面附加'use strict';。

这至少在Chrome中有效。以这种方式创建的函数是否可以访问 iframe 的全局范围或页面的全局范围，可以使用以下方法轻松测试：

(function() {
    var frame = document.createElement('iframe');
    document.body.appendChild(frame);
    var same = window === frame.contentWindow.Function('return window;')();
    alert(same ? ':(' : ':)');
    document.body.removeChild(frame);
}());

我不这么认为。您可以在参数中命名要保护的全局变量，以便它们隐藏它们：

window.a = 4;
Function("a", "a=3;")()
console.log(a === 4);

但是无论您尝试什么，该功能都将可以访问全局...这就是为什么它被称为全球。

根据您要执行的操作，还有其他解决方法，例如网络工作者...和往常一样，隐藏的iframe黑客。

@Esailija的回答是正确的。此外，我建议首先限制必须保护的全局变量的数量。将通常放在全局命名空间中的任何内容放在您控制的APP范围内：

var APP = (function() {
    return {
        a: 4
    };
}());

没有办法完全限制对全局范围的访问，但至少这样你只需要保护一个对象：APP .

这是我改编的sandboxed函数。它接受代码和带有函数参数的可选字典。

function sandboxed(code, args = {}) {
    var frame = document.createElement('iframe');
    document.body.appendChild(frame);
    var F = frame.contentWindow.Function;
    document.body.removeChild(frame);
    return F(...Object.keys(args), "'use strict';" + code)(...Object.values(args));
}
console.log(sandboxed('return a - 10;', {'a': 34}));
// 24