您可以使用 vm.runInContext('js code', context) 在 nodejs 中使用沙箱支持，api 文档中的示例：

https://nodejs.org/api/vm.html#vm_vm_runinthiscontext_code_options

const util = require('util');
const vm = require('vm');

const sandbox = { globalVar: 1 };
vm.createContext(sandbox);

for (var i = 0; i < 10; ++i) {
    vm.runInContext('globalVar *= 2;', sandbox);
}
console.log(util.inspect(sandbox));

// { globalVar: 1024 }

警告：正如“s4y”所指出的那样，它似乎有缺陷。请看评论。

一种替代方法是使用http://github.com/patriksimek/vm2：

$ npm install vm2

然后：

const {VM} = require('vm2');
const vm = new VM();

vm.run(`1 + 1`);  // => 2

如其他答案的评论中所述。

我不知道它有多安全，但它至少声称它安全地运行不受信任的代码（在它的自述文件中）。就此处其他答案中建议的解决方案而言，我找不到任何明显的安全问题。

此答案已过时，因为 gf3 不提供防止沙箱破坏的保护

http://gf3.github.io/sandbox/ - 它使用require('child_process')而不是require('vm').

在 Node.js 下，你可以创建一个沙盒子进程，但你也需要用 附加代码"use strict";，否则有可能用 破坏沙盒arguments.callee.caller。

不确定为什么需要将其发送到服务器，因为代码也可能在沙盒网络工作者中执行。

还可以看看我的Jailed库，它简化了刚才提到的 Node.js 和 web 浏览器的所有内容，另外还提供了将一组函数导出到沙箱中的机会。

根据您的使用情况，我建议您还考虑使用 gVisor 等虚拟环境来保护您的沙箱。你可以在这里找到一些信息。