如何在执行用户输入的代码的时候，尽可能的拦截恶意代码

内部管理系统？有攻击了找对方领导啊（笑

最常见的防范是过滤尖括号和尖括号对应的各种转换

你这个问题，年薪价值 500w+，如果自己想面面俱到，是不可能的，而安全问题属于短板问题，有一块就能突破。所以。。。还是如 1 楼说的，找领导。

内部管理系统，记录好操作人员，有问题直接去抓人

这不像是个技术问题啊...
人工审核或者谁写了恶意代码直接找他就行了

对于内部管理系统这真不是个事。
写好简略的注意事项，并记录用户请求。出问题可追溯即可。

这个好像不是 xss 那种允许用户提交 html 和 css 但拒绝 js 的场景，而是都已经允许用户编写 js 执行了

new Function
函数参数覆盖 window document 等 DOM 关键变量
在 iframe 沙箱中执行，异步获取执行结果

上容器搞沙盒跑

使用前必须登录
审计用户行为
敢整活就追究责任，包括但不限于开除、赔偿、送进局子

你好像没说清楚一个问题，代码在前端执行还是后端执行？
前端执行不需要任何处理，所以我估摸是后端执行
那就是沙盒+备份，备份记得备份到另一台电脑上。

年薪 500w+ 有点夸张了，实际上自己写个 naive 的解释器也不需要年薪 500w+
词法和语法解析器都有现成的，拿到 AST 对照着 SICP 的那个 meta interpreter 改改就成。

找领导的前提是编写者是内部人员
然而 #3 已经说了，安全问题是短板问题，表述上有问题但我觉得意思到了
如果内部有人点了钓鱼邮件导致机器成跳板怎么办？

11 楼惊醒了我，如果在服务器上用无头浏览器执行代码，那在语法层面是阻止不了恶意代码的啊

内部管理系统，操作必须登录，然后这也能被攻击，就直接向上举报。你居然还想着写代码拦截，代码没有社会工程学好使。