“魔鬼”eval

探讨JavaScript中eval()函数的强大功能与潜在风险,包括其可能引入的安全隐患、对作用域的影响及执行效率问题,并对比newFunction()作为替代方案的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

初识eval()

eval()函数在很多语言中都有,这仅仅讨论在JavaScript中的情况。由于eval()函数可以将任意字符串当做一个JavaScript代码来执行,所以可谓是特别强大了,经常的使用情况就是,函数名变化,来调用函数之类的。

但是为什么说是魔鬼:

如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)操控修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。——MDN

除上面破坏性之外的魔鬼之处:

  1. 篡改全局变量
  2. 影响到作用域链
  3. 要调用JS解释器,通常比替代方案慢

替代方案new Function()

优点:

在new Function()中运行的代码不会自动成为全局变量,eval()是会的,但是为了避免,可以将eval调用封装到一个立即执行的函数中。

var jsstring = 'var un = 1; console.log(un);';
eval(jsstring); // '1'

jsstring = 'var deux = 2; console.log(deux);';
new Function(jsstring)(); // '2'

jsstring = 'var trois = 3; console.log(trois);';
(function () {
    eval(jsstring);
})(); // '3'

console.log(typeof un); // 'number'
console.log(typeof deux); // 'undefined'
console.log(typeof trois); // 'undefined'

从上面代码可以看到,eval会影响到全局变量,当然,封装在匿名函数中调用就不会了,而new Function()不会。

eval是可以访问和修改它外部作用域的变量,然而new Function不会。

注意事项:

无论在哪里执行Function,他都仅仅能看到全局作用域,所以下面的变量访问不到。

(function () {
    var local = 1;
    Function ('console.log(typeof local);')();  // 'undefined'
})();

但是如果间接使用eval(),比如通过一个引用来调用它, 从 ECMAScript 5 起,那么将工作在全局作用域下,而不是局部作用域中。(外部是不能访问内部的,所以下面报错)

function test() {
    var a = 1, geval = eval;
    eval('console.log(a)'); // 1
    geval('console.log(a)'); // ReferenceError: a is not defined
}   

对于具体的eval各种使用场景的替代方法,查看下面的链接即可。比如对象的调用使用方括号形式等等。 

参考资料

MDN eval()

《javasript设计模式》

### 使用 `eval` 函数的相关说明 在编程中,`eval` 是一种用于动态解析字符串并将其视为代码执行的功能强大的工具。尽管不同语言实现方式有所差异,但其核心功能通常是相同的。 #### Python 中的 `eval` Python 提供了一个内置函数 `eval()`,它可以将传入的字符串当作有效的 Python 表达式来求值[^1]。例如: ```python result = eval("2 + 3 * 4") # 计算表达式的值 print(result) # 输出 14 ``` 需要注意的是,使用 `eval()` 存在安全风险,因为如果传递给它的字符串来自不可信源,则可能导致恶意代码被执行。因此,在实际应用中应谨慎处理输入数据的安全性问题。 #### JavaScript 中的 `eval` JavaScript 同样拥有名为 `eval` 的方法,它能够接收一段包含合法 JS 脚本语句或者表达式的文本参数,并按照当前上下文中定义变量与函数的方式去解释这段文字内容进而得到相应结果[^2]。下面是一个简单的例子展示如何利用此特性完成某些特定需求下的操作: ```javascript let expression = 'var a=5; var b=6; console.log(a*b);'; eval(expression); // 打印出乘积 30 到控制台 ``` 不过同理于其他任何地方使用的场景下都需注意潜在安全隐患的存在! #### Erlang 和 Elixir 中类似的机制 虽然严格意义上讲Erlang并没有直接对应于上述提到那些高级别脚本语言里的那种形式灵活多变又强大无比的同时也暗藏杀机特性的命令叫做"Eval",但是我们仍然可以通过一些间接手段达到近似效果,比如借助`:erl.eval_string/1`这样的BIFs (Built-In Functions)[^3]: ```elixir iex> :erl.eval_string('1+2'). {3,:ok} ``` 这里值得注意的一点是返回值不仅包含了计算所得数值而且还附带有一个状态标记表明整个过程顺利完成与否. 综上所述可以看出各个主流程序设计体系里面或多或少都会提供这么一类允许使用者临时编译运行新片段逻辑结构的机会窗口给我们开发者们加以运用发挥创造力解决问题之用;然而与此同时也要时刻警惕伴随而来的各种可能威胁系统稳定性和用户隐私保护方面的负面因素影响哦~ 问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值