“魔鬼”eval

最新推荐文章于 2021-06-09 11:56:08 发布
最新推荐文章于 2021-06-09 11:56:08 发布
阅读量683 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: javascript 文章标签: eval new Function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/viewyu12345/article/details/83758138
探讨JavaScript中eval()函数的强大功能与潜在风险,包括其可能引入的安全隐患、对作用域的影响及执行效率问题,并对比newFunction()作为替代方案的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

初识eval()

eval()函数在很多语言中都有,这仅仅讨论在JavaScript中的情况。由于eval()函数可以将任意字符串当做一个JavaScript代码来执行,所以可谓是特别强大了,经常的使用情况就是,函数名变化,来调用函数之类的。

但是为什么说是魔鬼:

如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)操控修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。——MDN

除上面破坏性之外的魔鬼之处:

  1. 篡改全局变量
  2. 影响到作用域链
  3. 要调用JS解释器,通常比替代方案慢

替代方案new Function()

优点:

在new Function()中运行的代码不会自动成为全局变量,eval()是会的,但是为了避免,可以将eval调用封装到一个立即执行的函数中。

var jsstring = 'var un = 1; console.log(un);';
eval(jsstring); // '1'

jsstring = 'var deux = 2; console.log(deux);';
new Function(jsstring)(); // '2'

jsstring = 'var trois = 3; console.log(trois);';
(function () {
    eval(jsstring);
})(); // '3'

console.log(typeof un); // 'number'
console.log(typeof deux); // 'undefined'
console.log(typeof trois); // 'undefined'

从上面代码可以看到,eval会影响到全局变量,当然,封装在匿名函数中调用就不会了,而new Function()不会。

eval是可以访问和修改它外部作用域的变量,然而new Function不会。

注意事项:

无论在哪里执行Function,他都仅仅能看到全局作用域,所以下面的变量访问不到。

(function () {
    var local = 1;
    Function ('console.log(typeof local);')();  // 'undefined'
})();

但是如果间接使用eval(),比如通过一个引用来调用它, 从 ECMAScript 5 起,那么将工作在全局作用域下,而不是局部作用域中。(外部是不能访问内部的,所以下面报错)

function test() {
    var a = 1, geval = eval;
    eval('console.log(a)'); // 1
    geval('console.log(a)'); // ReferenceError: a is not defined
}

对于具体的eval各种使用场景的替代方法,查看下面的链接即可。比如对象的调用使用方括号形式等等。 

参考资料

MDN eval()

《javasript设计模式》

【YOLOv9[基础]】热力图可视化实践① | 支持图像热力图 | 论文必备
静谧、淡雅
07-23 920
【YOLOv9[基础]】热力图可视化实践① | 支持图像热力图 | 论文必备
JavaScript探秘:eval()是“魔鬼
06-17 949
如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。如果代码是在运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。例如,用方括号表示法来访问动态属性会更好更简单: // 反面示例 var property = "name"; a
EVAL IS EVIL?(eval 函数是魔鬼吗?)
weixin_39768377的博客
01-30 1601
1. eval的用法? eval() 函数可以用来计算某个字符串,并执行其中的javascript代码。其语法eval(string); 如果传入的参数不是字符串,则直接返回这个参数。 2.eval在什么时候使用? 当我们预先不知道执行什么语句,只有条件和参数给定时才知道执行什么语句 demo <!DOCTYPE html> <html> <head> ...
JS--Eval()
喋喋的前端之路
06-09 617
引言: 被誉为魔鬼eval函数,今天看了一些文章和问答,总结了此博客,欢迎指正~ 本文示例默认全部启用严格模式 Eval执行代码字符串 内建函数eval允许执行一个代码字符串,代码字符串可能比较长,包含换行符、函数声明和变量等。 例如: let code = 'alert("hello")' eval(code) //hello eval的结果是最后一条语句的结果 例如: let value = eval('1+1') alert(value) //2 let value = eval('let i
魔鬼作坊51-106课教程
06-06
资源介绍:。A-51.CE绝了!借地址秒杀人物与地面物品坐标基址加偏移。 。A-52.惊爆!地爆天星式遍历出地面物品的相关数据。 。A-53.可恶!小小工具遍历出地面物品名称偏移。  。A-54.编疯了!闪电般疾速读取出地面物品“所有”相关数据。 。A-55.CE再度袭击!如何分析得出人物与玩家距离的内存地址。  。A-56.CE暴强!诸葛借箭术巧借地址秒杀人物与玩家距离的基址加偏移。 。A-57.超强!再次亮相小工具遍历出玩家的相关数据。 。A-58.诸葛之借!巧借基址加偏移搞定玩家名称偏移。  。A-59.编疯了!极度风暴快速读取出玩家的“所有”相关数据。 。A-60.编疯了!编写自动选怪功能。 。A-61.编疯了!编写自动普通攻击功能。  。A-62.编疯了!运用二种思路编写自动技能攻击功能。 。A-63.编疯了!编写快捷键方式自动补血功能。  。A-64.编疯了!利用吃药CALL编写自动补蓝功能。 。A-65.编疯了!编写自动捡物功能。 。A-66.编疯了!编写死亡自动回程功能。 。A-67.编疯了!编写自动喊话功能。 。A-68.编疯了!编写定点自动挂机功能。  。A-69.
CE6.2 魔鬼作坊贺岁版
08-01
CE6.2 魔鬼作坊贺岁版
再探JS---eval函数
weixin_45683463的博客
12-29 1324
eval函数 “魔鬼”函数? 如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。eval 用的好不好 其实和使用者的水平有关系 作用域 在eval()中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval()执行的时候创建 为什么不提倡使用eval函数? 可读性非常差 不好再做优化和编译 会轻微增加性能消
yolov8轻量化魔鬼面具
01-09
torch.quantization.convert(model.eval(), inplace=True) ``` ### 3. 使用更高效的架构组件 比如 MobileNet、ShuffleNet 等专为移动设备设计的小巧而强大的卷积层结构可以被引入到 YOLO 家族当中以增强性能表现。...
rtdetr训练自己数据集魔鬼面具
02-24
python tools/train.py -c configs/rt_detr.yml --eval ``` 这将会读取之前设定好的各项参数,在 GPU 上运行迭代优化算法直至收敛或达到预设的最大轮次限制[^3]。 #### 测试与评估 当训练完成后,可以通过验证集...
《Metasploit渗透测试魔鬼训练营》 之 文件包含
duangduang2020的博客
10-07 1799
文件包含漏洞包括本地文件包含(LFI)和远程文件包含(RFI)。详细讲解请自行度娘,这里一是利用最简单的代码对文件包含漏洞进行展示;二是结合《metasploit渗透测试魔鬼训练营》的实验环境进行讲解。 一、本地文件包含漏洞(LFI) (一)LFI展现 在WEB服务器A(192.168.80.1)下有三个文件 1.fl.php        : 2.read.php      :  3
CE6.3最新汉化版
11-17
CE6.3最新汉化版
CE_6.4.3_风叶人加强版
04-12
目前市场上为数不多的CE工具,查看基址的好工具,没有病毒,之前的收藏版
CE隐藏工具
04-22
酒盖隐藏小工具.exe
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
CE6.1_魔鬼作坊优化版.rar
05-07
CE6.1_魔鬼作坊优化版.rar
eval()不是魔鬼,只是被误解了(翻译)
weixin_34268753的博客
02-04 453
原文来自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Zakas 在JavaScript中,我不确定是否有比eval()受到更多诽谤的。它就是个简单的函数被设计用来将字符串转换为可被执行的JavaScr...
魔鬼作坊CE6.2贺岁版
11-20
魔鬼作坊CE6.2贺岁版 很好用的一款软件
魔鬼作坊 CE修改器
01-23
CE工具,进化版,无毒,无插件,魔鬼作坊VIP专用
js 魔鬼训练
dicha7140的博客
01-09 135
1、Object.assign 偷梁换柱 / 融合  - 将多个对象合并到第一个对象中去。这样一来methods对象中就包含着data对象了。否则this无法正常访问data中的title var news={ data(){ return { id:101, title:"新闻标题" } }, ...
eval
最新发布
04-10
### 使用 `eval` 函数的相关说明 在编程中,`eval` 是一种用于动态解析字符串并将其视为代码执行的功能强大的工具。尽管不同语言实现方式有所差异,但其核心功能通常是相同的。 #### Python 中的 `eval` Python 提供了一个内置函数 `eval()`,它可以将传入的字符串当作有效的 Python 表达式来求值[^1]。例如: ```python result = eval("2 + 3 * 4") # 计算表达式的值 print(result) # 输出 14 ``` 需要注意的是,使用 `eval()` 存在安全风险,因为如果传递给它的字符串来自不可信源,则可能导致恶意代码执行。因此,在实际应用中应谨慎处理输入数据的安全性问题。 #### JavaScript 中的 `eval` JavaScript 同样拥有名为 `eval` 的方法,它能够接收一段包含合法 JS 脚本语句或者表达式的文本参数,并按照当前上下文中定义变量与函数的方式去解释这段文字内容进而得到相应结果[^2]。下面是一个简单的例子展示如何利用此特性完成某些特定需求下的操作: ```javascript let expression = 'var a=5; var b=6; console.log(a*b);'; eval(expression); // 打印出乘积 30 到控制台 ``` 不过同理于其他任何地方使用的场景下都需注意潜在安全隐患的存在! #### Erlang 和 Elixir 中类似的机制 虽然严格意义上讲Erlang并没有直接对应于上述提到那些高级别脚本语言里的那种形式灵活多变又强大无比的同时也暗藏杀机特性的命令叫做"Eval",但是我们仍然可以通过一些间接手段达到近似效果,比如借助`:erl.eval_string/1`这样的BIFs (Built-In Functions)[^3]: ```elixir iex> :erl.eval_string('1+2'). {3,:ok} ``` 这里值得注意的一点是返回值不仅包含了计算所得数值而且还附带有一个状态标记表明整个过程顺利完成与否. 综上所述可以看出各个主流程序设计体系里面或多或少都会提供这么一类允许使用者临时编译运行新片段逻辑结构的机会窗口给我们开发者们加以运用发挥创造力解决问题之用;然而与此同时也要时刻警惕伴随而来的各种可能威胁系统稳定性和用户隐私保护方面的负面因素影响哦~ 问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值