JavaScript奇技淫巧：反Eval调试

Eval的正规用法是执行一段JS代码。

但它做为代码分析者的手段，也经常被用于调试分析：用eval运行某些函数，获得返回值、了解代码执行结果。

如何反eval调试、防止代码被eval执行？

我们可以在函数中抛出一个错误并捕获其堆栈跟踪，进而来检查调用栈中是否包含eval，便可识别是否是被eval调试，并可做出相应的操作。

例程：

function checkIfEvalled() {
    try {
        throw new Error();
    } catch (e) {
        console.log(e.stack);
        if (e.stack.includes('eval')) {
            console.log("This function might have been called by eval.");
        } else {
            console.log("This function was not called by eval.");
        }
    }
}
// 正常调用
checkIfEvalled();
// 使用eval调用
eval('checkIfEvalled();');

执行效果：

实际使用中，为了防止反Eval的代码逻辑被看到，当然不会使用console.log提示，可以换作return错误的值之类。还要将代码进行混淆加密，比如用JShaman进行JS代码混淆后，上面的示例可以变成难以阅读和理解的代码形式：

注意：

这个方式，可用于浏览器或Node.JS中检测eval。但在某些特殊的运行环境中，例如：微信、支付宝等H5小游戏中的代码，是不可以使用的，因为这些场景中经常也是使用eval来执行代码的，阻止了eval执行会导致错误。如下图：

但这似乎也说明用此方式反eval确实是够强大的。

本文节选自开源电子书《JavaScript奇技淫巧》GitHub - w2sft/JavaScript-diabolic-tricks-and-wicked-craft: 一本新奇、有趣、有技术含量的JavaScript编程技术集锦书籍。一本新奇、有趣、有技术含量的JavaScript编程技术集锦书籍。. Contribute to w2sft/JavaScript-diabolic-tricks-and-wicked-craft development by creating an account on GitHub.https://github.com/w2sft/JavaScript-diabolic-tricks-and-wicked-craft

此书向您分享一系列新奇、有趣、有技术含量的，特别是很多侧重于JS代码安全的编程技术，十分推荐JavaScript程序员阅读。

《JavaScript奇技淫巧》目录

JavaScript奇技淫巧：防删水印	1
JavaScript奇技淫巧：图片加密	5
JavaScript奇技淫巧：复制陷阱	12
JavaScript奇技淫巧：禁止页面分析	15
JavaScript奇技淫巧：Html加密	17
JavaScript奇技淫巧：隐秘执行	22
JavaScript奇技淫巧：Hook与反Hook	26
JavaScript奇技淫巧：链接劫持	31
JavaScript奇技淫巧：揭秘jjencode	35
JavaScript奇技淫巧：Ajax拦截	40
JavaScript奇技淫巧：无效断点	48
JavaScript奇技淫巧：时间密码	53
JavaScript奇技淫巧：设备指纹	58