vue3 沙箱主要分两种

1. 浏览器编译版本，浏览器版本是使用with语法加上proxy代理拦截
2. 本地预编译版本，通过在模版预编译阶段转换阶段，使用转换插件transformExpression将非白名单标识符挂在在组件代理对象下
   

浏览器编译版本

render 函数编译结果

<div>{{test}}</div>
<div>{{Math.floor(1)}}</div>

to

const _Vue = Vue;

return function render(_ctx, _cache, $props, $setup, $data, $options) {
  with (_ctx) {
    const {
      toDisplayString: _toDisplayString,
      createVNode: _createVNode,
      Fragment: _Fragment,
      openBlock: _openBlock,
      createBlock: _createBlock,
    } = _Vue;

    return (
      _openBlock(),
      _createBlock(
        _Fragment,
        null,
        [
          _createVNode("div", null, _toDisplayString(test), 1 /* TEXT */),
          _createVNode(
            "div",
            null,
            _toDisplayString(Math.floor(1)),
            1 /* TEXT */
          ),
        ],
        64 /* STABLE_FRAGMENT */
      )
    );
  }
};

从上面的代码，我们能发现，变量标识符没有增加前缀，只是用with语法包裹了一下，延长作用域链，那么是如何做到 js 沙箱拦截的呢？例如变量test， 理论上说，当前作用域链没有test变量，变量会从上一层作用域查找，直到查找到全局作用域，但是，实际上只会在_ctx上查找， 原理很简单，_ctx是一个代理对象，那么我们如何使用Proxy做拦截，示例代码如下：

const GLOBALS_WHITE_LISTED =
  "Infinity,undefined,NaN,isFinite,isNaN,parseFloat,parseInt,decodeURI," +
  "decodeURIComponent,encodeURI,encodeURIComponent,Math,Number,Date,Array," +
  "Object,Boolean,String,RegExp,Map,Set,JSON,Intl,BigInt";

const isGloballyWhitelisted = (key) => {
  return GLOBALS_WHITE_LISTED.split(",").includes(key);
};

const hasOwn = (obj, key) => {
  return Object.prototype.hasOwnProperty.call(obj, key);
};

const origin = {};
const _ctx = new Proxy(origin, {
  get(target, key, reciever) {
    if (hasOwn(target, key)) {
      Reflect.get(target, key, reciever);
    } else {
      console.warn(
        `Property ${JSON.stringify(key)} was accessed during render ` +
          `but is not defined on instance.`
      );
    }
  },
  has(target, key) {
    // 如果是 全局对象 返回false，不触发get 拦截，从上一层作用域查找变量
    // 如果不是 全局对象 返回true，触发get 拦截
    return !isGloballyWhitelisted(key);
  },
});

代码很简单，为什么这么简单的代码就能做到拦截？ 因为 with 语句会触发 has 拦截，当 has 返回 true，就会 触发代理对象 get 拦截，如果返回 false， 则代理对象 get 拦截不会触发，变量不在当前代理对象查找，直接查找更上一层作用域

本地预编译版本

<div>{{test}}</div>
<div>{{Math.floor(1)}}</div>

to

import {
  toDisplayString as _toDisplayString,
  createVNode as _createVNode,
  Fragment as _Fragment,
  openBlock as _openBlock,
  createBlock as _createBlock,
} from "vue";

export function render(_ctx, _cache, $props, $setup, $data, $options) {
  return (
    _openBlock(),
    _createBlock(
      _Fragment,
      null,
      [
        _createVNode("div", null, _toDisplayString(_ctx.a), 1 /* TEXT */),
        _createVNode(
          "div",
          null,
          _toDisplayString(Math.floor(1)),
          1 /* TEXT */
        ),
      ],
      64 /* STABLE_FRAGMENT */
    )
  );
}

从上面的代码我们可以发现，非白名单标识符都添加了_ctx 变量前缀，那么是如何做到的呢？当本地编译 template 时，处于转换阶段时会对 变量表达式节点NodeTypes.SIMPLE_EXPRESSION进行添加前缀处理，示例代码如下：

const GLOBALS_WHITE_LISTED =
  "Infinity,undefined,NaN,isFinite,isNaN,parseFloat,parseInt,decodeURI," +
  "decodeURIComponent,encodeURI,encodeURIComponent,Math,Number,Date,Array," +
  "Object,Boolean,String,RegExp,Map,Set,JSON,Intl,BigInt";

const isGloballyWhitelisted = (key) => {
  return GLOBALS_WHITE_LISTED.split(",").includes(key);
};
const isLiteralWhitelisted = (key)=>{
  return 'true,false,null,this'.split(',').includes(key)
}
export function processExpression(
  node
) {
  const rewriteIdentifier = (raw) => {
    return `_ctx.${raw}`
  }
  const rawExp = node.content
  if (isSimpleIdentifier(rawExp)) {
    const isAllowedGlobal = isGloballyWhitelisted(rawExp)
    const isLiteral = isLiteralWhitelisted(rawExp)
    if (!isAllowedGlobal && !isLiteral) {
      node.content = rewriteIdentifier(rawExp)
    }
    return node
  }

当然上面的代码只是简化版本，原版插件还做了精确到了__props $setup，减短变量查询路径，提高性能，还有通过babel编译复杂表达式比如：箭头函数。

总结

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：mmqy2019@163.com进行举报，并提供相关证据，查实之后，将立刻删除涉嫌侵权内容。

猜你喜欢

• jQuery中each的用法是什么，有什么要注意的？

  each()函数封装了十分强大的遍历功能，使用也很方便，它可以遍历一维数组、多维数组、DOM, JSON 等等，这篇文章我们来了解jQuery中each的基本用法，下文有示例供大家参考，有需要的朋友可以看一看，接下来就跟随小编来一起学习一下吧！

• node热重启如何安装和启动，具体怎么应用

  本篇文章带大家了解一下nodejs中的热重启、get请求、post请求和中间件，希望对大家有所帮助！

• vue中的两种过滤器分别用于什么，怎么用

  vue中的过滤器分为两种：局部过滤器和全局过滤器。过滤器可被用于一些常见的文本格式化。过滤器可以用在两个地方：双花括号插值和 v-bind 表达式 (后者从 2.1.0+ 开始支持)。过滤器应该被添加在 JavaScript 表达式的尾部，由“管道”符号指示(官方文档)

• vue学习之常用高阶函数及示例详解

  高阶函数就是函数式编程的一种实现方案，通常把接受一个或多个函数作为参数，或者返回一个函数的函数叫做高阶函数。本文主要介绍vue常用高阶函数以及案例，感兴趣的朋友继续往下看吧。

• vue-router4如何使用，具体的应用是怎样的

  虽然 vue-router 4 大多数 API 保持不变，但是在 vue3 中以插件形式存在，所以在使用时有一定的变化。接下来就学习学习它是如何使用的