【Node】认识一下Node.js 中的 VM 模块

你的人类朋友2025-10-10 0:33

前言

今天介绍 Node.js 中的 VM(Virtual Machine)模块的基本概念和使用方法。

很多人不太了解他,比如在下

所以本文也不会过于深入,会偏向入门!

小目标:看完之后向自己解释一下:啥是 VM 模块?它有什么作用?

什么是 VM 模块

VM 模块是 Node.js 内置的模块,用于在 V8 虚拟机上下文中编译和执行 JavaScript 代码。

说人话就是,VM 模块允许你在隔离的环境中运行 JavaScript 代码。

核心功能

这边用代码进行举例子,后面会介绍具体的使用场景

1. vm.runInThisContext(code)

在当前的全局上下文中执行代码,但【无法访问局部作用域】。

javascript 复制代码 
const vm = require('vm')

const localVar = '本地变量'
const code = 'console.log(typeof localVar);' // 输出 "undefined"

vm.runInThisContext(code)

🤔 疑问:无法访问局部变量,那这个方法有啥意义???? 回答:公共的 API 可访问,比如 console, setTimeout, Buffer, JSON 等等。

2. vm.runInNewContext(code, sandbox)

在新的沙箱环境中执行代码,完全隔离。

javascript 复制代码 
const vm = require('vm')

const sandbox = {
    animal: '猫',
    count: 2
}
const code = 'count += 1; console.log(animal + "有" + count + "只");'

vm.runInNewContext(code, sandbox)
console.log(sandbox.count) // 输出 3

补充:那公共 API 可以用吗?

回答:默认不能用公共 API,因为它创建了一个全新的、空白的沙箱环境,连全局对象都没有。

解决办法:手动把需要的全局对象传进去。

参考下面的代码:

javascript 复制代码 
const sandbox = {
    x: 1,
    console: console, // 手动传入
    JSON: JSON, // 手动传入
    setTimeout: setTimeout // 手动传入
}

const code = `
  console.log('现在可以用了'); // 正常执行
  JSON.parse('{}');           // 正常执行
`

vm.runInNewContext(code, sandbox) // 正常工作

3. vm.runInContext(code, contextifiedSandbox)

在特定的上下文对象中执行代码。

javascript 复制代码 
const vm = require('vm')

const sandbox = {x: 1}
vm.createContext(sandbox) // 上下文化沙箱

const code = 'x += 1; y = 2;'
vm.runInContext(code, sandbox)

console.log(sandbox) // 输出 { x: 2, y: 2 }

老问题:公共 API 可以用吗? 回答:取决于你怎么创建上下文。下面这样创建就可以!

js 复制代码 
const vm = require('vm')

// 方式1:从空对象创建 - 不能用公共API
const emptySandbox = {}
vm.createContext(emptySandbox) // 空的上下文

// 方式2:传入全局对象 - 能用公共API
const globalSandbox = {console, JSON, setTimeout}
vm.createContext(globalSandbox) // 带全局能力的上下文

主要应用场景

  1. 代码沙箱:安全地执行不受信任的代码
  2. 模板引擎:动态执行模板逻辑,啥意思呢?其实就是说,你可以在运行时根据用户输入动态生成 HTML 或其他文本。
  3. 测试环境:创建隔离的测试上下文
  4. 插件系统:安全地运行第三方代码

⚠️ 注意事项

  • VM 不是绝对安全的,不能完全替代容器化技术。为啥都这样隔离了,还是不安全呢?因为 JavaScript 本身太灵活,总有办法通过原型链、异步回调等漏洞"逃"出沙箱,访问到主机的敏感信息或执行恶意代码。它防不住语言层面的漏洞攻击。这边暂时不展开。
  • 小贴士:使用 runInNewContext()eval() 更安全
  • 谨慎处理异步操作和无限循环。啥意思?其实简单举个例子就是,你在沙箱中执行的代码不能包含无限循环,否则会导致 Node.js 进程挂起。

总结

Node.js 的 VM 模块提供了在隔离上下文中执行 JavaScript 代码的能力。通过不同的方法,你可以控制代码的执行环境和访问权限,实现安全的代码执行沙箱。

最后

回答开头的问题:啥是 VM 模块?它有什么作用?

Node.js 的 VM 模块就是个代码隔离箱------把不可信的代码关在笼子里运行,让它既能干活,又不会搞坏你的主程序。

相关推荐
码一行2 小时前
Go.1.25.4 和 Go.1.24.10 发布了!!
后端·go
虎子_layor2 小时前
告别Redis瓶颈:Caffeine本地缓存优化实战指南
java·后端
q***98522 小时前
什么是Spring Boot 应用开发?
java·spring boot·后端
hadage2332 小时前
--- JavaScript 的一些常用语法总结 ---
java·前端·javascript
码一行2 小时前
从0到1用Go撸一个AI应用?Eino框架让你效率翻倍!
后端·go
彭于晏爱编程2 小时前
🍭🍭🍭升级 AntD 6:做第一个吃螃蟹的人
前端
掘金一周2 小时前
大部分人都错了!这才是chrome插件多脚本通信的正确姿势 | 掘金一周 11.27
前端·人工智能·后端
bcbnb2 小时前
苹果App上架全流程指南:从注册到审核通过,一文读懂
后端
aiopencode2 小时前
在 Windows 环境完成 iOS 上架,跨平台发布体系的落地实践
后端
疯狂的程序猴2 小时前
Fiddler抓包配置与使用教程,HTTPHTTPS抓包、代理设置与接口调试完整指南
后端
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Linux下V2Ray安装配置指南07Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)