“魔鬼”eval

最新推荐文章于 2021-06-09 11:56:08 发布
原创 最新推荐文章于 2021-06-09 11:56:08 发布 · 683 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#eval #new Function

探讨JavaScript中eval()函数的强大功能与潜在风险,包括其可能引入的安全隐患、对作用域的影响及执行效率问题,并对比newFunction()作为替代方案的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

初识eval()

eval()函数在很多语言中都有,这仅仅讨论在JavaScript中的情况。由于eval()函数可以将任意字符串当做一个JavaScript代码来执行,所以可谓是特别强大了,经常的使用情况就是,函数名变化,来调用函数之类的。

但是为什么说是魔鬼:

如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)操控修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。——MDN

除上面破坏性之外的魔鬼之处:

  1. 篡改全局变量
  2. 影响到作用域链
  3. 要调用JS解释器,通常比替代方案慢

替代方案new Function()

优点:

在new Function()中运行的代码不会自动成为全局变量,eval()是会的,但是为了避免,可以将eval调用封装到一个立即执行的函数中。

var jsstring = 'var un = 1; console.log(un);';
eval(jsstring); // '1'

jsstring = 'var deux = 2; console.log(deux);';
new Function(jsstring)(); // '2'

jsstring = 'var trois = 3; console.log(trois);';
(function () {
    eval(jsstring);
})(); // '3'

console.log(typeof un); // 'number'
console.log(typeof deux); // 'undefined'
console.log(typeof trois); // 'undefined'

从上面代码可以看到,eval会影响到全局变量,当然,封装在匿名函数中调用就不会了,而new Function()不会。

eval是可以访问和修改它外部作用域的变量,然而new Function不会。

注意事项:

无论在哪里执行Function,他都仅仅能看到全局作用域,所以下面的变量访问不到。

(function () {
    var local = 1;
    Function ('console.log(typeof local);')();  // 'undefined'
})();

但是如果间接使用eval(),比如通过一个引用来调用它, 从 ECMAScript 5 起,那么将工作在全局作用域下,而不是局部作用域中。(外部是不能访问内部的,所以下面报错)

function test() {
    var a = 1, geval = eval;
    eval('console.log(a)'); // 1
    geval('console.log(a)'); // ReferenceError: a is not defined
}

对于具体的eval各种使用场景的替代方法,查看下面的链接即可。比如对象的调用使用方括号形式等等。 

参考资料

MDN eval()

《javasript设计模式》

【YOLOv9[基础]】热力图可视化实践① | 支持图像热力图 | 论文必备
静谧、淡雅
07-23 920
【YOLOv9[基础]】热力图可视化实践① | 支持图像热力图 | 论文必备
JavaScript探秘:eval()是“魔鬼
06-17 949
如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。如果代码是在运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。例如,用方括号表示法来访问动态属性会更好更简单: // 反面示例 var property = "name"; a
EVAL IS EVIL?(eval 函数是魔鬼吗?)
weixin_39768377的博客
01-30 1601
1. eval的用法? eval() 函数可以用来计算某个字符串,并执行其中的javascript代码。其语法eval(string); 如果传入的参数不是字符串,则直接返回这个参数。 2.eval在什么时候使用? 当我们预先不知道执行什么语句,只有条件和参数给定时才知道执行什么语句 demo <!DOCTYPE html> <html> <head> ...
JS--Eval()
喋喋的前端之路
06-09 617
引言: 被誉为魔鬼eval函数,今天看了一些文章和问答,总结了此博客,欢迎指正~ 本文示例默认全部启用严格模式 Eval执行代码字符串 内建函数eval允许执行一个代码字符串,代码字符串可能比较长,包含换行符、函数声明和变量等。 例如: let code = 'alert("hello")' eval(code) //hello eval的结果是最后一条语句的结果 例如: let value = eval('1+1') alert(value) //2 let value = eval('let i
魔鬼作坊51-106课教程
06-06
资源介绍:。A-51.CE绝了!借地址秒杀人物与地面物品坐标基址加偏移。 。A-52.惊爆!地爆天星式遍历出地面物品的相关数据。 。A-53.可恶!小小工具遍历出地面物品名称偏移。  。A-54.编疯了!闪电般疾速读取出地面物品“所有”相关数据。 。A-55.CE再度袭击!如何分析得出人物与玩家距离的内存地址。  。A-56.CE暴强!诸葛借箭术巧借地址秒杀人物与玩家距离的基址加偏移。 。A-57.超强!再次亮相小工具遍历出玩家的相关数据。 。A-58.诸葛之借!巧借基址加偏移搞定玩家名称偏移。  。A-59.编疯了!极度风暴快速读取出玩家的“所有”相关数据。 。A-60.编疯了!编写自动选怪功能。 。A-61.编疯了!编写自动普通攻击功能。  。A-62.编疯了!运用二种思路编写自动技能攻击功能。 。A-63.编疯了!编写快捷键方式自动补血功能。  。A-64.编疯了!利用吃药CALL编写自动补蓝功能。 。A-65.编疯了!编写自动捡物功能。 。A-66.编疯了!编写死亡自动回程功能。 。A-67.编疯了!编写自动喊话功能。 。A-68.编疯了!编写定点自动挂机功能。  。A-69.
CE6.2 魔鬼作坊贺岁版
08-01
CE6.2 魔鬼作坊贺岁版
再探JS---eval函数
weixin_45683463的博客
12-29 1324
eval函数 “魔鬼”函数? 如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。eval 用的好不好 其实和使用者的水平有关系 作用域 在eval()中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval()执行的时候创建 为什么不提倡使用eval函数? 可读性非常差 不好再做优化和编译 会轻微增加性能消
yolov8轻量化魔鬼面具
01-09
torch.quantization.convert(model.eval(), inplace=True) ``` ### 3. 使用更高效的架构组件 比如 MobileNet、ShuffleNet 等专为移动设备设计的小巧而强大的卷积层结构可以被引入到 YOLO 家族当中以增强性能表现。...
rtdetr训练自己数据集魔鬼面具
02-24
python tools/train.py -c configs/rt_detr.yml --eval ``` 这将会读取之前设定好的各项参数,在 GPU 上运行迭代优化算法直至收敛或达到预设的最大轮次限制[^3]。 #### 测试与评估 当训练完成后,可以通过验证集...
《Metasploit渗透测试魔鬼训练营》 之 文件包含
duangduang2020的博客
10-07 1799
文件包含漏洞包括本地文件包含(LFI)和远程文件包含(RFI)。详细讲解请自行度娘,这里一是利用最简单的代码对文件包含漏洞进行展示;二是结合《metasploit渗透测试魔鬼训练营》的实验环境进行讲解。 一、本地文件包含漏洞(LFI) (一)LFI展现 在WEB服务器A(192.168.80.1)下有三个文件 1.fl.php        : 2.read.php      :  3
CE6.3最新汉化版
11-17
CE6.3最新汉化版
CE_6.4.3_风叶人加强版
04-12
目前市场上为数不多的CE工具,查看基址的好工具,没有病毒,之前的收藏版
CE隐藏工具
04-22
酒盖隐藏小工具.exe
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
CE6.1_魔鬼作坊优化版.rar
05-07
CE6.1_魔鬼作坊优化版.rar
eval()不是魔鬼,只是被误解了(翻译)
weixin_34268753的博客
02-04 453
原文来自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Zakas 在JavaScript中,我不确定是否有比eval()受到更多诽谤的。它就是个简单的函数被设计用来将字符串转换为可被执行的JavaScr...
魔鬼作坊CE6.2贺岁版
11-20
魔鬼作坊CE6.2贺岁版 很好用的一款软件
魔鬼作坊 CE修改器
01-23
CE工具,进化版,无毒,无插件,魔鬼作坊VIP专用
js 魔鬼训练
dicha7140的博客
01-09 135
1、Object.assign 偷梁换柱 / 融合  - 将多个对象合并到第一个对象中去。这样一来methods对象中就包含着data对象了。否则this无法正常访问data中的title var news={ data(){ return { id:101, title:"新闻标题" } }, ...
eval
最新发布
04-10
### 使用 `eval` 函数的相关说明 在编程中,`eval` 是一种用于动态解析字符串并将其视为代码执行的功能强大的工具。尽管不同语言实现方式有所差异,但其核心功能通常是相同的。 #### Python 中的 `eval` Python ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值