bplok20010 / eval5 Goto Github PK

View Code? Open in Web Editor NEW

671.0 671.0 99.0 1.64 MB

A JavaScript interpreter written in TypeScript - Support ES5

Home Page: https://bplok20010.github.io/eval5/

License: MIT License

TypeScript 100.00%

eval5 interpreter javascript-interpreter js-interpreter sandbox typescript-javascript vm wechat-mini

eval5's Introduction

eval5

中文 | English

基于 TypeScript 编写的 JavaScript 解释器，支持完整 ES5 语法

支持浏览器、node.js、小程序等 JavaScript 运行环境

在线体验

更多示例

使用场景

浏览器环境中需要使用沙盒环境执行 JavaScript 脚本
控制执行时长
不支持eval Function的 JavaScript 运行环境：如微信小程序 demo we-script taro-script
研究/学习用

支持 ECMAScript 版本

ES5

安装

npm install --save eval5

使用

import { Interpreter } from "eval5";

const interpreter = new Interpreter(window, {
	timeout: 1000,
});

let result;

try {
	result = interpreter.evaluate("1+1");
	console.log(result);

	interpreter.evaluate("var a=100");
	interpreter.evaluate("var b=200");
	result = interpreter.evaluate("a+b");

	console.log(result);
} catch (e) {
	console.log(e);
}

参数

interface Options {
	// 默认为：0，不限制
	timeout?: number;
	// 根作用域，只读
	rootContext?: {} | null;
	globalContextInFunction?: any;
}

示例

import { Interpreter } from "eval5";

const ctx = {};
const interpreter = new Interpreter(ctx, {
    rootContext: window,
	timeout: 1000,
});

interpreter.evaluate(`
    a = 100;
    console.log(a); // 100
`);

window.a;//undefined

Interpreter

version

当前版本

global

默认值: {}

设置默认的全局作用域

Interpreter.global = window;
const interpreter = new Interpreter();
interpreter.evaluate('alert("hello eval5")');

globalContextInFunction

默认值: undefined

eval5 不支持 use strict 严格模式, 在非严格下的函数中this默认指向的是全局作用域，但在eval5中是undefined，可通过globalContextInFunction来设置默认指向。

import { Interpreter } from "Interpreter";

const ctx = {};
const interpreter = new Interpreter(ctx);
interpreter.evaluate(`
this; // ctx
function func(){
    return this; // undefined
}
func();
`);

import { Interpreter } from "Interpreter";

Interpreter.globalContextInFunction = window;
const ctx = {};
const interpreter = new Interpreter({});
interpreter.evaluate(`
this; // ctx
function func(){
    return this; // window
}
func();
`);

原因，示例代码：

注意: alert异常

import { Interpreter } from "Interpreter";

Interpreter.globalContextInFunction = {};

const ctx = {alert: alert};

const interpreter = new Interpreter(ctx);

interpreter.evaluate(`
// throw Illegal invocation
alert('Hello eval5'); // 同 alert.call({}, 'Hello eval5')
`);

constructor(context = Interpreter.global, options?: Options )

构造函数

Interpreter 的实例方法

evaluate(code: string): any

执行给定的字符串代码，并返回最后一个表达式的值

import { Interpreter } from "Interpreter";

const interpreter = new Interpreter(window);

const result = interpreter.evaluate(`
var a = 100;
var b = 200;

a+b;

`);

console.log(result); // 300

appendCode(code: string): any

evaluate的别名

getExecutionTime(): number

获取上一次调用evaluate的执行时长

setExecTimeout(timeout: number = 0): void

设置执行时长

getOptions(): Readonly<Options>

获取解释器参数

evaluate(code: string, ctx?: {}, options?: Options)

执行给定的字符串代码，并返回最后一个表达式的值

注: 该函数每次执行都会创建一个新的解释器

import { evaluate } from "eval5";

evaluate(
	`
var a = 100;
var b = 100;
console.log(a+b);
`,
	{ console: console }
); // 200

evaluate(`
    a;
`); // a is not defined

Function

该函数会将Interpreter.global Interpreter.globalContextInFunction当作默认值并创建新的解释器

import { Function } from "eval5";

const func = new Function("a", "b", "return a+b;");
console.log(func(100, 200)); // 300

vm

查看 vm

vm.createContext
vm.compileFunction
vm.runInContext
vm.runInNewContext
vm.Script

License

MIT

eval5's People

Contributors

Stargazers

Watchers

Forkers

edikid mircle neoayi longhui520 interfacekun thinklib sxbp2020 zhengzengjie x375942256 fbion o0o52lin zggl axipo ailhc yrobot-backup xc-team 1186258278 lxh17729540528 wittech ggccoder wagnlinzh guojiayu01 wangzhengbo yuhuby dominik-cc pycc2015 dut3062796s genzhen heiye9 chenyunjie sheyude-fork linecode chang-ke gt0608 nauy1216 sevencon liulinboyi studently jansschen xyh0001 rholandell xixici raochuan woxiaoyao81 asarua w-xuefeng xiaotian-ps pengr399 yeaicc yancy1028 yiiiiiiqianyao bluepeople1 ihaust jenjieju secondar charmtiger exdestroyer coquettishpoppy freebr veni-vidivici hyaser carlcjb baoxd barrierml liuzhijun forkbook maskletter lee305621873 fermuch chdtyzhy galaxyn leakon david0718 janesuyue ronchan0805 harwinvoid ralapchen wpyaa wjf2016 wangditxz vcxiaohan seekinglight233 venusjason fgcp020 godxkey codcer clgeoio wicked-knife xihangzhou shenxinli silurianyang honshow highbuilding breezerzxq sourcecodetrace huolalatech liuxin19960729 tianyi666 buhaiyang

eval5's Issues

所以这种东西可以通过审核吗

有人尝试过应用和提交在wx上吗

while循环内嵌switch continue造成的异常

var i = 1;
while(i){
    switch (i) {
        default:
            i = 0;
            continue;
    }
    console.log('after default')
}

在正常js执行环境下，continue会跳出while loop，不会输出console
然而通过eval5执行此段代码，continue仅跳出switch，会输出console

麻烦作者大大看下该种执行不一致的情况如何解决

希望能增加 Float32Array 基础类型的支持，已经提交 PR，感谢！！！

请问可以支持es6语法吗

Unknown node type: ArrowFunctionExpression [4:51]
ReferenceError: Unknown node type: ArrowFunctionExpression [4:51]

loopOut is not defined [2:9]

解析网易云信 SDK报错

场景是，在微信小程序开发中引入云信SDK，把SDK打包到主包过大（业务需要不能放到分包），请求后端接口，把SDK放到缓存，这时候SDK是字符串了，用eval5解析成js执行。
报错如下：

vue.runtime.esm.js?9334:619 [Vue warn]: Error in mounted hook: "TypeError: Cannot read properties of undefined (reading '__core-js_shared__')"

存在沙盒逃逸和CSP Bypass风险

沙盒环境可以通过访问原型链获取Function，进一步执行JS代码

Object.prototype.constructor.constructor("return eval")()("alert(1)")

即使在非常严格的CSP防护下，比如script-src 'self' 'wasm-unsafe-eval'; object-src 'self'，也存在通过原型链污染的方式进行逃逸，从而进一步执行JS代码

详细可见 https://blog.xlab.app/p/766bba8a/