关于javascript中避免使用eval的理解

最新推荐文章于 2021-08-18 18:33:10 发布
最新推荐文章于 2021-08-18 18:33:10 发布
阅读量1.2k 收藏
点赞数
分类专栏: JavaScript 文章标签: JavaScript web前端 eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42476786/article/details/102398427
版权

这两天在翻阅《JavaScript模式》的时候,看到一个标题,“避免使用eval()”,这不禁让我想探索一下,为什么要避免使用eval。

首先我们来先看一下eval()的定义:

执行一段字符串中的JavaScript代码。
摘要:
eval(code)
参数:
code
包含待求知的JavaScript表达式或待执行的JavaScript语句的字符串。
返回:
求值后的代码的值,如果存在对应的值的话。
异常:
如果code不是合法的JavaScript代码,则eval()将抛出一个SyntaxError。如果在对code求值的过程中发生了错误,则eavl()将传播这个错误。

也就是说,eavl()是一个用于执行一段JavaScript代码字符串的全局方法。如果code包含一个表达式,则会对表达式求值并返回这个值。
那大概能知道为什么避免使用eval()了。
1.它可以将任意一个字符串当作JavaScript代码来执行。
2.会存在一些安全隐患,因为这样做有可能执行被篡改过的代码(例如来自网络的代码)。

再探JS---eval函数
weixin_45683463的博客
12-29 1316
eval函数 “魔鬼”函数? 如果你现在的代码中使用eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。eval 用的好不好 其实和使用者的水平有关系 作用域 在eval()中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval()执行的时候创建 为什么不提倡使用eval函数? 可读性非常差 不好再做优化和编译 会轻微增加性能消
JavascriptEval函数的使用
05-26
由于JSON字符串不能直接在JavaScript环境中操作,所以通常会使用`eval()`来转换它: ```javascript let jsonString = '{"name": "John", "age": 30}'; let jsonObject = eval('(' + jsonString + ')'); console.log...
javaScript 避免使用eval
weixin_30709809的博客
07-18 385
如果你现在的代码中使用eval(),记住该咒语"eval()是魔鬼".此方法接受任意的字符串,并当作javaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),如果代码是运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。 例如,用方括号表示法来访问动态属性会更好更简单: var property="name";  alert(eval("obj."+p...
避免使用eval(...)和with
qq_44845659的博客
08-18 363
避免使用eval(…)和with eval(…) eval(…)函数可以接受一个字符串作为参数,从而执行字符串参数组成的JavaScript代码。 eval("alert('Hello world!')") 上面代码运行会在浏览器窗口弹出"Hello world!"。 eval(…)函数通常被用来执行动态创建的代码,比如程序中逻辑生成或者从服务端获取的动态字符串JavaScript代码,这看上起很酷,但是不到万不得已不要使用它。 eval(…)函数坏处如下: 会对所处的词法作用域作出修改 可能会执行恶意J
为什么在javascript不建议使用eval()函数?
weixin_30914981的博客
03-05 781
eval伪装超时函数setTimeout和setInterval都接受字符串作为第一个参数,该字符串将在全局作用域执行,因为eval不是被直接调用的。 安全问题eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 这个例子中,由于响应的文本包含一个匿名函数,这个函数会修改页面中的第一个表单的action特性,导致表单在提...
javascript 编程规范
weixin_34292287的博客
04-02 130
为公司起草的javascript编程规范,参考了网上的许多资料,尤其是google的规范。现在放出来,希望能抛砖引玉,大家多提宝贵意见。 本规范是针对javascript函数式编程风格与公司严重依赖于jQuery进行编码的现实制定出来。 禁止使用eval,with与caller(ecma262 v5 的use strict要求)。eval只允许在加密时机器生成。 声明变量必须加上 var 关...
Javascript学习笔记4 Eval函数
10-29
JavaScript中的`eval()`函数是一个非常强大但又充满争议的工具,...总结,`eval()`函数是JavaScript中的一个强大工具,但使用时需谨慎。理解其工作原理和注意事项,可以帮助我们在编写JavaScript代码时做出更好的决策。
JavaScripteval()中使用函数的进一步讨论
10-30
JavaScript中,`eval()`...在编写JavaScript代码时,应尽量避免使用`eval()`,以提高代码的安全性和可预测性。如果确实需要动态执行代码,可以考虑使用其他方法,如`new Function()`或`Function.prototype.apply()`。
calculadora:一个简单但惊人的计算器,无需使用 Javascript 中的 eval() 函数
05-30
总之,`calculadora`项目提供了一种在JavaScript中创建计算器的方式,通过避免使用`eval()`函数,提高了代码的安全性和可读性。这样的实践对于学习JavaScript理解计算逻辑的实现非常有价值。通过进一步优化和扩展...
JavaScripteval函数的问题
10-22
因此,除非必要,应尽量避免使用`eval`,并考虑其他替代方案,例如使用`new Function`构造函数或模板字符串来实现类似的功能,这些方法通常更安全且更易于理解和维护。 总的来说,理解JavaScript的作用域规则以及`...
JS中注入eval, Function等系统函数截获动态代码
12-12
现在很多网站都上了各种前端反爬手段,无论手段如何,最重要的是要把包含反爬手段的前端javascript代码加密隐藏起来,然后在运行时实时解密动态执行。 动态执行js代码无非两种方法,即eval和Function。那么,不管网站加密代码写的多牛,我们只要将这两个方法hook住,即可获取到解密后的可执行js代码。 注意,有些网站会检测eval和Function这两个方法是否原生,因此需要一些小花招来忽悠过去。 挂钩代码 首先是eval的挂钩代码: (function() { if (window.__cr_eval) return window.__cr_eval = window.ev
js代码规范
Ethan_LG的专栏
07-09 706
copy一份我司的js代码规范,简单实用。
JavaScript 为什么不推荐使用 eval
di84186的博客
06-06 759
作者:王欣彤链接:http://www.zhihu.com/question/20591877/answer/57705130来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 不推荐使用eval的原因有很多,1、eval 太神秘了,以至于很多人用错。所以不推荐使用。 比如这段代码你应该见过:<img src="https:/...
为什么不应该在JavaScript使用eval()的原因
08-13 417
The eval() function has been around for a long time in JavaScript! You likely don’t see it often anymore because it’s widely agreed that it’s harmful to use. Let’s take a brief look at it, and some of...
禁用 eval 时如何解析字符串的 javascript 代码
352328759的博客
11-30 2263
今天有同事问我:“怎么解析一段字符串的 javascript 代码?” “eval() 呀” “我们的项目禁用 eval …” “曹孟德的名字” 解析一段字符串的 javascript 代码的需求并不常见, 所以提到这个需求第一时间想到的方法毫无悬念就是 eval() 可是基于网络安全的种种原因, 很多项目对这个方法避之若浼 所以禁用 eval 时, 如何解析字符串的 javascript 代码呢? end ...
防js代码注入
WiFi_Uncle的专栏
10-11 5048
1. 什么是 JavaScript 注入攻击?每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。让我们研究一个容易遭受 JavaScript 注入攻击的具体应用程序。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。举个例子首先, 我在某个输入框中输入js代码<script type="
为什么尽量不要使用eval函数和with关键字
then啥
09-22 1759
编译过程:分词/词法分析;解析/语法分析;代码生成 词法作用域:定义在词法阶段的作用域 相关概念: 作用域:是一套规则,定义了引擎如何在作用域中通过标识符名称对变量进行查找 作用域工作模型:词法作用域、动态作用域 词法化:编译器工作的第一阶段,即对代码中的字符进行检查。如果是有状态的解析还会赋予单词语义 1.性能问题: ①.js引擎会在编译阶段进行性能优化,其...
JavaScript基础避免使用eval()(006)
weixin_33851429的博客
09-12 195
许多人认为eval()方法是邪恶(evil)的。这个方法可以把任意字符串当成Javascript代码来执行。我们应该尽可能的不用eval()方法。比如,可以使用方括号来得到对象属性的值: // antipattern var property = "name"; alert(eval("obj." + property)); // preferred var property = "...
java js 注入_Java如何防止JS脚本注入代码实例
weixin_36330704的博客
02-24 614
Java如何防止JS脚本注入代码实例,符号,脚本,顺序,视图,表情Java如何防止JS脚本注入代码实例易采站长站,站长之家为您整理了Java如何防止JS脚本注入代码实例的相关内容。1.java中防止JS脚本注入的工具类-通用public class XssUtil {private static Map xssMap = new LinkedHashMap();private static Map...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值