应避免使用 eval() 执行动态代码，因其易引发代码注入；可改用 Function 构造函数或安全方案如 JSON 配置、模板引擎、Web Workers 沙箱等，在可信环境下才考虑动态执行。

在JavaScript中，直接执行动态代码字符串存在严重的安全风险，尤其是当代码来源不可信时。虽然有几种方式可以实现动态执行，但必须谨慎使用，优先选择更安全的替代方案。

避免使用 eval()

例如：

不推荐：

eval("console.log('Hello')");

如果字符串来自用户输入或网络请求，攻击者可能注入恶意代码，如删除数据、窃取 Cookie 等。

使用 Function 构造函数（相对更安全）

Function 构造函数可以在全局作用域中创建一个新函数，不会污染当前作用域，且无法访问局部变量，因此比 eval() 稍安全。

示例：

const result = new Function('a', 'b', 'return a + b;')(2, 3); // 返回 5

它的局限性在于只能访问全局变量和传入的参数，不能读取调用处的局部变量，这在一定程度上限制了潜在危害。

考虑安全替代方案

大多数情况下，执行动态代码的需求可以通过更安全的方式实现：

• JSON 配置 + 映射逻辑：用 JSON 描述行为，配合预定义函数映射。例如，用 { action: "add", x: 1, y: 2 } 触发已知的安全函数。
• 模板引擎：如需要动态生成内容，使用专门的模板库（如 Handlebars），它们会对输入进行转义和沙箱处理。
• Web Workers 沙箱：在独立线程中执行不受信任的代码，通过 postMessage 通信，隔离主页面。
• AST 解析与白名单校验：对代码字符串进行语法解析（如使用 esprima），只允许特定语法结构执行，复杂但安全性高。

仅在可信环境下执行动态代码

如果你完全控制代码来源（如内部配置、构建工具），并且运行环境是受控的（如 Node.js 后端、CI 脚本），才可以考虑使用 new Function() 或 eval()。

即便如此，也应记录日志、限制权限，并定期审计代码。

基本上就这些。能不用动态执行，就尽量不用；必须用时，选 Function 而非 eval，并配合其他防护措施。安全永远比便利更重要。