new Function 是 JavaScript 中用于动态创建函数的构造函数，其核心特点是将函数参数和函数体作为字符串传入，最终返回一个可执行的函数对象。以下是详细用法及注意事项：

一、基本用法

const func = new Function([arg1, arg2, ...,] functionBody);
//arg1, arg2, ...：函数参数（字符串形式）。
//functionBody：函数体（字符串形式，需包含合法的 JavaScript 代码）。

// 创建一个加法函数
const add = new Function('a', 'b', 'return a + b');
console.log(add(2, 3)); // 输出 5

// 无参数函数
const sayHello = new Function("console.log('Hello')");
sayHello(); // 输出 "Hello"

//多行函数体
const multiply = new Function(
  'a', 'b',
  'console.log("Calculating..."); return a * b;'
);
console.log(multiply(4, 5)); // 输出 20

二、关键特性

1.作用域限制

• new Function 创建的函数只能访问全局作用域，无法访问定义时的词法作用域。
• 与普通函数不同，它不会形成闭包。

const x = 10;
function createFunc() {
  const x = 5;
  return new Function("return x"); // 访问全局 x（10）
}
console.log(createFunc()()); // 输出 10（而非 5）

2.性能特性

• 每次调用 new Function 会解析并创建新函数，开销较大。
• 适合一次性动态生成函数的场景，避免在高频循环中使用。

三、注意事项

1.安全性风险

• 代码注入攻击：若函数体或参数来自用户输入，可能执行恶意代码。
• 解决方案：避免直接使用不可信数据。对输入进行严格校验和转义。使用沙箱环境执行动态代码（如 Web Worker）。

// 危险示例：用户输入可能包含恶意代码
const userInput = "'; alert('XSS攻击！'); '";
const func = new Function(`return ${userInput}`);
func(); // 触发 alert

2.调试困难

• 动态生成的函数没有源码映射，调试时堆栈跟踪显示为匿名函数。
• 错误定位复杂，需依赖 try...catch 捕获语法错误。

try {
  const invalidFunc = new Function("return syntax error"); // 语法错误
} catch (e) {
  console.error("函数创建失败:", e.message);
}

3.严格模式影响

• new Function 创建的函数默认启用严格模式（ES5+）。
• 函数体中使用 arguments.callee 等非严格模式特性会报错。

4.跨平台兼容性

• 所有现代浏览器均支持 new Function。
• 在某些移动端或旧版本环境中需测试兼容性。