我将使用esprima解析存储在文件或数据库中的用户JavaScript函数。并且我只允许运行通过解析测试的代码（只允许使用白名单功能——使用局部变量、参数…）。
您可以从一个非常简单的检查代码开始，它只允许非常有限的脚本，并逐步改进它。然而，我想随着时间的推移，您将在解决方案上投入大量精力，因为您的用户总是想要更多。

**注：**Angular 。js使用这种“技巧”进行依赖注入：https://jsfiddle.net/987Lwezy/

function test() {
   console.log("This is my secret!");
}

function parser(f) {
    document.body.innerHTML = test.toString();
}

parser(test);

你可以使用https://github.com/lcrespom/purecheck。它已经有一段时间没有更新了，但似乎支持你所需要的。