如何在JavaScript中执行命令行操作？

核心方法（Node.js环境）

child_process.exec()

适用于执行简单命令并获取完整输出：

const { exec } = require('child_process');
exec('dir', (error, stdout, stderr) => {
  if (error) {
    console.error(`执行错误: ${error}`);
    return;
  }
  console.log(`输出结果: ${stdout}`); // 输出命令结果
  if (stderr) console.error(`错误信息: ${stderr}`);
});

child_process.spawn()

适合处理大量输出或实时流数据：

const { spawn } = require('child_process');
const ls = spawn('ls', ['-lh', '/usr']); // Linux/Mac示例
ls.stdout.on('data', (data) => {
  console.log(`实时输出: ${data}`);
});
ls.stderr.on('data', (data) => {
  console.error(`错误流: ${data}`);
});
ls.on('close', (code) => {
  console.log(`子进程退出码: ${code}`);
});

child_process.execSync()（同步操作）

阻塞式执行,适用于脚本任务：

const { execSync } = require('child_process');
try {
  const result = execSync('echo "Hello, CMD!"');
  console.log(result.toString()); // 输出: Hello, CMD!
} catch (error) {
  console.error(error.message);
}

安全风险与防御措施

1. 命令注入攻击
   危险示例：

   const userInput = '恶意命令; rm -rf /';
   exec(`ls ${userInput}`); // 可能删除系统文件！

   解决方案：使用参数化传递或严格过滤：

   const { spawn } = require('child_process');
   const safeInput = '正常目录';
   const ls = spawn('ls', [safeInput]); // 安全：参数作为数组传递

2. 权限最小化

   • 避免使用root权限运行Node.js进程
   • 通过chroot或容器隔离环境

浏览器端替代方案

浏览器无法直接执行系统命令,但可通过以下方式间接交互：

1. WebSocket连接后端服务
   浏览器 → 发送请求 → Node.js服务器 → 执行命令 → 返回结果
2. WebAssembly (WASM)
   在沙箱中运行C/C++编译的命令行工具（如FFmpeg）

适用场景对比

关键注意事项

1. 路径处理
   使用path.join()避免跨平台路径问题：

   const path = require('path');
   const dirPath = path.join(__dirname, 'docs');
   exec(`ls ${dirPath}`);

2. 超时控制
   防止进程卡死：

   exec('长时间任务', { timeout: 5000 }, (error) => {
     if (error?.killed) console.log('进程超时终止');
   });

3. 环境变量
   传递自定义环境变量：

   exec('echo $API_KEY', { 
     env: { ...process.env, API_KEY: '12345' } 
   });

在Node.js中执行命令行需通过child_process模块，优先选择spawn()处理流式数据，始终防范命令注入风险，浏览器端需通过服务端中转实现类似功能，生产环境中务必添加权限控制、日志监控和错误处理。

引用说明：

• Node.js官方文档 child_process模块
• OWASP命令注入防御指南 Command Injection
• Linux系统权限管理手册 Linux Permissions