大家有没有在自己的代码里面，动态的下载并执行一段第三方的 js 文件或者代码？

@yazoox #16 我没有具体做过，我的思路就是用 WebWorkers 、WebAssembly 等天然提供沙盒的机制来跑，注意它们的沙盒基本是运行方面的隔离，一些同域的资源也可能可以访问，具体可以去 MDN 上仔细研究一下。
还可以找找看有没有一些前端沙盒的库，我听说 Deno 可以在浏览器端作为一个沙盒环境运行（本质好像也是 WebAssembly ），本人没用过，你可以去看一下是不是满足需要。

沙盒和外界程序之间使交流用 postmessage 等机制，对数据交流进行严格管制，就可以避免安全问题，同时记得记录关键日志（可以从前端发到你们自己的日志服务器），以便于审计和回溯。

@seakingii
let result = window[functionName](userId);
加载的 script 中的函数是通过 window[name]访问的啊。got it. thx

@libook 嗯，用 WebWorkers 试试~ thx

npm i loadjs

web 标准原生支持模块动态载入，文档： https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Statements/import#dynamic_imports

实例参考： https://github.com/DistPub/dshell/blob/main/shell.js#L321