【Node】认识一下Node.js 中的 VM 模块

你的人类朋友2025-10-10 0:33

前言

今天介绍 Node.js 中的 VM(Virtual Machine)模块的基本概念和使用方法。

很多人不太了解他,比如在下

所以本文也不会过于深入,会偏向入门!

小目标:看完之后向自己解释一下:啥是 VM 模块?它有什么作用?

什么是 VM 模块

VM 模块是 Node.js 内置的模块,用于在 V8 虚拟机上下文中编译和执行 JavaScript 代码。

说人话就是,VM 模块允许你在隔离的环境中运行 JavaScript 代码。

核心功能

这边用代码进行举例子,后面会介绍具体的使用场景

1. vm.runInThisContext(code)

在当前的全局上下文中执行代码,但【无法访问局部作用域】。

javascript 复制代码 
const vm = require('vm')

const localVar = '本地变量'
const code = 'console.log(typeof localVar);' // 输出 "undefined"

vm.runInThisContext(code)

🤔 疑问:无法访问局部变量,那这个方法有啥意义???? 回答:公共的 API 可访问,比如 console, setTimeout, Buffer, JSON 等等。

2. vm.runInNewContext(code, sandbox)

在新的沙箱环境中执行代码,完全隔离。

javascript 复制代码 
const vm = require('vm')

const sandbox = {
    animal: '猫',
    count: 2
}
const code = 'count += 1; console.log(animal + "有" + count + "只");'

vm.runInNewContext(code, sandbox)
console.log(sandbox.count) // 输出 3

补充:那公共 API 可以用吗?

回答:默认不能用公共 API,因为它创建了一个全新的、空白的沙箱环境,连全局对象都没有。

解决办法:手动把需要的全局对象传进去。

参考下面的代码:

javascript 复制代码 
const sandbox = {
    x: 1,
    console: console, // 手动传入
    JSON: JSON, // 手动传入
    setTimeout: setTimeout // 手动传入
}

const code = `
  console.log('现在可以用了'); // 正常执行
  JSON.parse('{}');           // 正常执行
`

vm.runInNewContext(code, sandbox) // 正常工作

3. vm.runInContext(code, contextifiedSandbox)

在特定的上下文对象中执行代码。

javascript 复制代码 
const vm = require('vm')

const sandbox = {x: 1}
vm.createContext(sandbox) // 上下文化沙箱

const code = 'x += 1; y = 2;'
vm.runInContext(code, sandbox)

console.log(sandbox) // 输出 { x: 2, y: 2 }

老问题:公共 API 可以用吗? 回答:取决于你怎么创建上下文。下面这样创建就可以!

js 复制代码 
const vm = require('vm')

// 方式1:从空对象创建 - 不能用公共API
const emptySandbox = {}
vm.createContext(emptySandbox) // 空的上下文

// 方式2:传入全局对象 - 能用公共API
const globalSandbox = {console, JSON, setTimeout}
vm.createContext(globalSandbox) // 带全局能力的上下文

主要应用场景

  1. 代码沙箱:安全地执行不受信任的代码
  2. 模板引擎:动态执行模板逻辑,啥意思呢?其实就是说,你可以在运行时根据用户输入动态生成 HTML 或其他文本。
  3. 测试环境:创建隔离的测试上下文
  4. 插件系统:安全地运行第三方代码

⚠️ 注意事项

  • VM 不是绝对安全的,不能完全替代容器化技术。为啥都这样隔离了,还是不安全呢?因为 JavaScript 本身太灵活,总有办法通过原型链、异步回调等漏洞"逃"出沙箱,访问到主机的敏感信息或执行恶意代码。它防不住语言层面的漏洞攻击。这边暂时不展开。
  • 小贴士:使用 runInNewContext()eval() 更安全
  • 谨慎处理异步操作和无限循环。啥意思?其实简单举个例子就是,你在沙箱中执行的代码不能包含无限循环,否则会导致 Node.js 进程挂起。

总结

Node.js 的 VM 模块提供了在隔离上下文中执行 JavaScript 代码的能力。通过不同的方法,你可以控制代码的执行环境和访问权限,实现安全的代码执行沙箱。

最后

回答开头的问题:啥是 VM 模块?它有什么作用?

Node.js 的 VM 模块就是个代码隔离箱------把不可信的代码关在笼子里运行,让它既能干活,又不会搞坏你的主程序。

相关推荐
Cosolar4 小时前
FunASR 前端语音识别代码解析
前端·面试·github
weixin_419658315 小时前
Spring 的统一功能
java·后端·spring
小许学java6 小时前
Spring AI-流式编程
java·后端·spring·sse·spring ai
canonical_entropy6 小时前
对《DDD本质论》一文的解读
后端·架构·领域驱动设计
码事漫谈6 小时前
我用亲身经历告诉你,为什么程序员千万别不把英语当回事
后端
码事漫谈6 小时前
C++ const 用法全面总结与深度解析
后端
间彧6 小时前
分布式单例模式在微服务架构中的实际应用案例
后端
间彧6 小时前
分布式系统中保证单例唯一性的Java解决方案
后端
间彧6 小时前
为什么避免在单例中保存上下文状态
后端
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02GitHub 镜像站点03UV安装并设置国内源04Linux下V2Ray安装配置指南05KGG转MP3工具|非KGM文件|解密音频06jdk21下载、安装(Windows、Linux、macOS)07Claude Code & 智谱GLM-4.5 环境配置指南 (Windows/macOS/Ubuntu)08DeepSeek-VL 解析:混合视觉-语言模型如何超越传统计算机视觉方法09一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示1046个Nano-banana 精选提示词,持续更新中