PowerShell 运行 npm 报“禁止运行脚本”：为什么改 Execution Policy 就好了？

在 Windows 上用 PowerShell 启动前端项目时，很多人会遇到类似报错：

npm : 无法加载文件 ...\npm.ps1，因为在此系统上禁止运行脚本PSSecurityException / UnauthorizedAccess

表面上看是 npm 出问题了，但核心原因其实是 PowerShell 的脚本执行策略（Execution Policy） 把 npm 的入口脚本拦下来了。

下面用一篇“讲清楚原理”的方式解释：为什么把策略改成 RemoteSigned 就能解决。

1. 你以为你在跑 npm，其实 PowerShell 在跑 npm.ps1

当你在 PowerShell 输入：

npm run dev

PowerShell 会在 PATH 里找名为 npm 的可执行入口。在 Node.js 的 Windows 安装中，通常会同时提供几种入口文件，比如：

• npm.ps1：给 PowerShell 用的脚本入口
• npm.cmd：给 cmd.exe 用的批处理入口 -（以及 node/npm 的其它配套文件）

你的报错里明确点名了：

• 被拦截的是 C:\Program Files\nodejs\npm.ps1

所以问题不是项目、不是 package.json、也不是 npm run dev 命令本身，而是：PowerShell 不允许执行这个 .ps1 脚本文件。

2. Execution Policy 是什么？它在拦什么？

Execution Policy（执行策略）是 PowerShell 用来控制“脚本能不能运行”的一层安全机制。

它不是 Windows 的“权限系统”（不是 ACL、也不是管理员权限那套），更像是 PowerShell 自己的“安全开关”：

• 如果策略过于严格，.ps1 脚本会被直接阻止执行
• 于是像 npm.ps1 这种入口脚本也会被拦
• 结果就是你看见的 PSSecurityException

3. RemoteSigned 为什么能解决？

当你执行：

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned

你做的事情是：把“脚本执行规则”设置为 RemoteSigned，它的含义可以简单理解为：

• 本机创建/本机安装的脚本：允许执行
• 从网络下载并带有“来源标记”的脚本：需要签名才允许执行（否则拦截）

而 npm.ps1 是你在本机安装 Node.js 时放到磁盘上的脚本，一般会被视为“本地脚本”，因此在 RemoteSigned 下就能执行。

所以链路就恢复了：

npm run dev → PowerShell 能执行 npm.ps1 → npm 真正启动 → dev 脚本正常运行。

4. 为什么选择 -Scope CurrentUser？

-Scope CurrentUser 的意思是：只改当前 Windows 用户的策略，不影响全系统其他用户，通常也不需要管理员权限。

这是一种“影响面更小”的做法，适合开发环境。

5. 实操步骤

在 PowerShell 里执行：

Set-ExecutionPolicy -Scope CurrentUser -ExecutionPolicy RemoteSigned

出现提示时输入 Y 确认。

然后关闭当前终端，重新打开 PowerShell，再运行：

npm run dev

你也可以检查一下各个 scope 的策略值：

Get-ExecutionPolicy -List

6. 补充：不想改策略，还有别的路吗？

有。如果你不想动 Execution Policy，可以绕过 .ps1，直接走 cmd 入口：

npm.cmd run dev

这是因为 .cmd 不受 PowerShell 的脚本执行策略限制。

但如果你日常在 PowerShell 下开发，设置一次 RemoteSigned 往往更省事。

总结

• 报错的根因：PowerShell 执行策略禁止运行 npm.ps1
• 改成 RemoteSigned 后：允许执行本机脚本，npm.ps1 不再被拦截
• 用 CurrentUser：只影响当前用户，风险和影响面更小

如果你愿意，把你 Get-ExecutionPolicy -List 的输出贴一下，我也可以帮你确认当前到底是哪个 scope 在“压住”策略（有时会被更高优先级的策略覆盖）。