【Node】认识一下Node.js 中的 VM 模块

你的人类朋友2025-10-10 0:33

前言

今天介绍 Node.js 中的 VM(Virtual Machine)模块的基本概念和使用方法。

很多人不太了解他,比如在下

所以本文也不会过于深入,会偏向入门!

小目标:看完之后向自己解释一下:啥是 VM 模块?它有什么作用?

什么是 VM 模块

VM 模块是 Node.js 内置的模块,用于在 V8 虚拟机上下文中编译和执行 JavaScript 代码。

说人话就是,VM 模块允许你在隔离的环境中运行 JavaScript 代码。

核心功能

这边用代码进行举例子,后面会介绍具体的使用场景

1. vm.runInThisContext(code)

在当前的全局上下文中执行代码,但【无法访问局部作用域】。

javascript 复制代码 
const vm = require('vm')

const localVar = '本地变量'
const code = 'console.log(typeof localVar);' // 输出 "undefined"

vm.runInThisContext(code)

🤔 疑问:无法访问局部变量,那这个方法有啥意义???? 回答:公共的 API 可访问,比如 console, setTimeout, Buffer, JSON 等等。

2. vm.runInNewContext(code, sandbox)

在新的沙箱环境中执行代码,完全隔离。

javascript 复制代码 
const vm = require('vm')

const sandbox = {
    animal: '猫',
    count: 2
}
const code = 'count += 1; console.log(animal + "有" + count + "只");'

vm.runInNewContext(code, sandbox)
console.log(sandbox.count) // 输出 3

补充:那公共 API 可以用吗?

回答:默认不能用公共 API,因为它创建了一个全新的、空白的沙箱环境,连全局对象都没有。

解决办法:手动把需要的全局对象传进去。

参考下面的代码:

javascript 复制代码 
const sandbox = {
    x: 1,
    console: console, // 手动传入
    JSON: JSON, // 手动传入
    setTimeout: setTimeout // 手动传入
}

const code = `
  console.log('现在可以用了'); // 正常执行
  JSON.parse('{}');           // 正常执行
`

vm.runInNewContext(code, sandbox) // 正常工作

3. vm.runInContext(code, contextifiedSandbox)

在特定的上下文对象中执行代码。

javascript 复制代码 
const vm = require('vm')

const sandbox = {x: 1}
vm.createContext(sandbox) // 上下文化沙箱

const code = 'x += 1; y = 2;'
vm.runInContext(code, sandbox)

console.log(sandbox) // 输出 { x: 2, y: 2 }

老问题:公共 API 可以用吗? 回答:取决于你怎么创建上下文。下面这样创建就可以!

js 复制代码 
const vm = require('vm')

// 方式1:从空对象创建 - 不能用公共API
const emptySandbox = {}
vm.createContext(emptySandbox) // 空的上下文

// 方式2:传入全局对象 - 能用公共API
const globalSandbox = {console, JSON, setTimeout}
vm.createContext(globalSandbox) // 带全局能力的上下文

主要应用场景

  1. 代码沙箱:安全地执行不受信任的代码
  2. 模板引擎:动态执行模板逻辑,啥意思呢?其实就是说,你可以在运行时根据用户输入动态生成 HTML 或其他文本。
  3. 测试环境:创建隔离的测试上下文
  4. 插件系统:安全地运行第三方代码

⚠️ 注意事项

  • VM 不是绝对安全的,不能完全替代容器化技术。为啥都这样隔离了,还是不安全呢?因为 JavaScript 本身太灵活,总有办法通过原型链、异步回调等漏洞"逃"出沙箱,访问到主机的敏感信息或执行恶意代码。它防不住语言层面的漏洞攻击。这边暂时不展开。
  • 小贴士:使用 runInNewContext()eval() 更安全
  • 谨慎处理异步操作和无限循环。啥意思?其实简单举个例子就是,你在沙箱中执行的代码不能包含无限循环,否则会导致 Node.js 进程挂起。

总结

Node.js 的 VM 模块提供了在隔离上下文中执行 JavaScript 代码的能力。通过不同的方法,你可以控制代码的执行环境和访问权限,实现安全的代码执行沙箱。

最后

回答开头的问题:啥是 VM 模块?它有什么作用?

Node.js 的 VM 模块就是个代码隔离箱------把不可信的代码关在笼子里运行,让它既能干活,又不会搞坏你的主程序。

相关推荐
xiaoxiao无脸男4 分钟前
纯css:一个好玩的按钮边框动态动画
前端·css·css3
rookie_fly24 分钟前
基于Vue的数字输入框指令
前端·vue.js·设计模式
元直数字电路验证31 分钟前
ASP.NET Core Web APP(MVC)开发中无法全局配置 NuGet 包,该怎么解?
前端·javascript·ui·docker·asp.net·.net
千码君20161 小时前
Go语言:解决 “package xxx is not in std”的思路
开发语言·后端·golang
rexling11 小时前
【Spring Boot】Spring Boot解决循环依赖
java·前端·spring boot
我有一棵树1 小时前
Vue 项目中全局样式的正确写法:不要把字体和主题写在 #app 上
前端·javascript·vue.js
咖啡教室2 小时前
每日一个计算机小知识:DHCP
后端·网络协议
Luna-player2 小时前
npm : 无法加载文件 C:\Program Files\nodejs\npm.ps1,因为在此系统上禁止运行脚本,解决方法
前端·npm·node.js
悢七2 小时前
windows npm打包无问题,但linux npm打包后部分样式缺失
linux·前端·npm
咖啡教室2 小时前
每日一个计算机小知识:ARP协议
后端·网络协议
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)06GitLab 零基础入门指南:从安装到项目管理全流程07NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)10KGG转MP3工具|非KGM文件|解密音频