eval跟new Function的区别是什么?是否有共同点?

最新推荐文章于 2024-07-09 15:15:25 发布
最新推荐文章于 2024-07-09 15:15:25 发布
阅读量2.4k 收藏 2
点赞数 2
分类专栏: nodeJS 基础加固 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a419419/article/details/124286349
版权


eval() 函数会将传入的字符串当做 JavaScript 代码进行执行

console.log(eval('2 + 2'));// 4
let p = 1;
let aa = eval('(function a(){console.log("eval定义的函数",p)})()');
console.log(aa);// "eval定义的函数" 1


建议在nodejs模式下执行,浏览器会报安全问题!
入参只有一个,是string类型:
一个表示 JavaScript 表达式、语句或一系列语句的字符串。表达式可以包含变量与已存在对象的属性

new Function 每个 JavaScript 函数实际上都是一个 Function 对象。运行 (function(){}).constructor === Function // true 便可以得到这个结论。

由 Function 构造函数创建的函数不会创建当前环境的闭包,它们总是被创建于全局环境,因此在运行时它们只能访问全局变量和自己的局部变量,不能访问它们被 Function 构造函数创建时所在的作用域的变量。这一点与使用 eval() 执行创建函数的代码不同。

需要在浏览器上运行,在nodejs上运行的结果是不一样的

var x = 10;
function createFunction1() {
    var x = 20;
    return new Function('return x;'); // 这里的 x 指向最上面全局作用域内的 x
}
var f1 = createFunction1();
console.log(f1());// 10

nodejs中是无法读取到new Function外声明的变量的,因为Node.js 中 f1() 会产生一个“找不到变量 x”的 ReferenceError。这是因为在 Node 中顶级作用域不是全局作用域,而 x 其实是在当前模块的作用域之中。

eval和new Function在浏览器上运行时都存在安全风险,因为浏览器无法感知你里面的字符串是否安全!

永远不要使用 eval!底层实现的库一般都是使用new Function的形式

eval() 是一个危险的函数, 它使用与调用者相同的权限执行代码。如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个 eval() 被调用时的作用域,这也有可能导致一些不同方式的攻击。相似的 Function 就不容易被攻击。

eval() 通常比其他替代方法更慢,因为它必须调用 JS 解释器,而许多其他结构则可被现代 JS 引擎进行优化。

此外,现代JavaScript解释器将javascript转换为机器代码。 这意味着任何变量命名的概念都会被删除。 因此,任意一个eval的使用都会强制浏览器进行冗长的变量名称查找,以确定变量在机器代码中的位置并设置其值。 另外,新内容将会通过 eval() 引进给变量, 比如更改该变量的类型,因此会强制浏览器重新执行所有已经生成的机器代码以进行补偿。 但是,(谢天谢地)存在一个非常好的eval替代方法:只需使用 window.Function。 这有个例子方便你了解如何将eval()的使用转变为Function()

什么是 V8 JavaScript 引擎
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
11-18 1139
基本概念与作用说明V8 的工作原理主要特性完整且丰富的代码示例示例一:在 Node.js 中使用 V8 引擎示例二:性能测试示例三:内存管理示例四:调试信息示例五:异步执行不同角度的功能使用思路性能优化内存管理并发执行调试和性能分析实际工作开发中的使用技巧V8 JavaScript 引擎是Google开发的一款高性能JavaScript引擎,最初设计用于Chrome浏览器,但现在已经广泛应用于其他领域,如Node.js服务器环境。
Vue3+TypeScript?看这一篇就够了
drnrrwfs的博客
03-09 3879
1、TypeScript快速上手 1.1 初识 TypeScript TypeScript 的介绍 TypeScript是一种由微软开发的开源、跨平台的编程语言。它是JavaScript的超集,最终会被编译为JavaScript代码。 2012年10月,微软发布了首个公开版本的TypeScript,2013年6月19日,在经历了一个预览版之后微软正式发布了正式版TypeScript TypeScript的作者是安德斯·海尔斯伯格,C#的首席架构师。它是开源和跨平台的编程语言。 TypeScript扩展了J
关于evalnew Function 到底该选哪个?
12-10
废话不多说,直接上测试代码 代码如下:var aa = “{name:’cola’,item:[{age:11},{age:22},{age:23},{age:23}]}”;     var now = new Date().getTime();     for (var i = 0; i < 100000 xss=removed xss=removed>”)
evalnew Function
hmlxb001068的博客
07-31 1174
new Function 语法:新函数 = new Function(参数1, 参数2, ..., 参数n, 函数体); 除最后一个参数外,其他所有的参数都是新创建函数的参数。         最后一个参数是,新创建函数的函数体。 所有的参数都可以省略。        举例: var f = new Function("x", "y", "console.log(x + y);")
evalnew Function的简单介绍以及区别
weixin_44008717的博客
06-09 1729
一、简介 evalnew Function 都可以将一段字符串解析成一段js脚本并执行。 二、使用 1、eval 作为一个全局方法,传入一个参数(String)即可执行 let name = 'a' eval('console.log(name)') // 输出'a' 2、new Function new Function() 可以接n个参数,最后一个参数作为函数体。 let name = 'a' let test = new Function('arg', 'console.log(arg)')
eval() 和 new function()
youyouyouyou44的博客
07-13 646
eval()和new function()的功能基本相似:将字符串解析成js可以看懂的语言,即将字符串当做代码来执行(动态解析和执行字符串)。 基本使用: var str='{a:1,b:2,c:3}'; console.log(eval('('+str+')').c); var str="{a:1, b:2, a:3}"; ...
evalnew Function区别
weixin_33713350的博客
06-03 309
evalnew Function都可以动态解析和执行字符串。但是它们对解析内容的运行环境判定不同。 var a = 'global scope' function b(){ var a = 'local scope' eval('console.log(a)') //local scope ;(new Function...
详解JavaScript基础知识(JSON、Function对象、原型、引用类型)
10-18
本篇详解将涵盖JSON、Function对象、原型链以及JavaScript中的引用类型这四大核心知识点。 首先,让我们深入探讨JSON(JavaScript Object Notation)这一轻量级的数据交换格式。JSON以其易于人阅读和编写,同时也...
安服面试点总结
1
02-22 9092
目录 3389无法连接的几种情况 二次注入 报错注入的函数 基于格式错误的报错(xpath语法错误) 基于主键重复错误 堆叠注入 判断出网站的CMS对渗透的意义 一个成熟并且相对安全的CMS,渗透时扫目录的意义? mysql注入点,用工具对目标站直接写入一句话,需要哪些条件? 1.3389无法连接的几种情况 端口没有开放 端口被修改了 被拦截了 没出网(处于内网(需要进行端口转发)) 2.二次注入 恶意数据经过一些转义函数(get_magic_quotes_gpc)的
new Functioneval区别
u010227042的博客
04-03 507
因此,任意一个 eval 的使用都会强制浏览器进行冗长的变量名称查找,以确定变量在机器代码中的位置并设置其值。另外,新内容将会通过 eval() 引进给变量,比如更改该变量的类型,因此会强制浏览器重新执行所有已经生成的机器代码以进行补偿。如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个 eval() 被调用时的作用域,这也有可能导致一些不同方式的攻击。永远不要使用 eval!
javascript使用eval或者new Function进行语法检查
10-28
使用代码来实现分析代码的语法,这是一件极其痛苦的事情。简单的解决办法是:使用脚本引擎自己的语法检查,比方说eval( ) 或者new Function( )。
Javascriptevalnew Function的差异
summer的专栏
05-07 1654
当你必须要将字符串当做代码来执行,很多人第一印象
evalnew Function()之比较
Hymer的专栏
04-06 2347
最近使用jquery操作json比较多,有时需要将json字符串转成object,或者将object转成json字符串。举例如下:var jsonStr = '{"id":1,"name":"linda","hobbies":[{"id":1,"name":"hobby1"},{"id":2,"name":"hobby2"}]}'; var obj1 = eval('('+ jsonStr +')'); var obj2 = (new Function('return ' + jsonStr))()
new Functioneval区别
weixin_30685047的博客
12-22 260
evalnew Function都可以动态解析和执行字符串。但是它们对解析内容的运行环境判定不同。 eval中的代码执行时的作用域为当前作用域。它可以访问到函数中的局部变量。 new Function中的代码执行时的作用域为全局作用域,不论它的在哪个地方调用的。所以它访问的是全局变量a。它根本无法访问b函数内的局部变量。 下面这个例子可以说明了: var a = 'global sc...
evalnew Function构造函数时的区别
最新发布
qq_42372534的博客
07-09 366
对于定义函数来说,如果想用eval动态构造函数,那么有两种方式:1.使用箭头函数表达式构造函数,2.使用。,并且返回最后一个表达式(注意不是声明语句)的值。这里需要注意的是返回的值是表达式的值,比如。共同点:二者构造的函数的作用域都是全局的,可以通过。将函数function声明语句包裹起来,
JavaScripteval命令具体的作用是什么?设计的初衷是什么
05-26
JavaScript中的eval()函数是一个全局函数,它可以将一个字符串作为代码来执行。它的作用是把字符串转换成JavaScript代码并运行,因此可以说它是一种动态执行代码的方式。 eval()函数的设计初衷是为了方便动态生成代码和动态执行代码。在某些情况下,我们需要根据不同的输入动态生成代码,这时候就可以使用eval()函数。比如,我们可以利用eval()函数来实现一个简单的计算器,用户输入表达式后,我们可以把表达式作为字符串传递给eval()函数来计算结果。 但是,由于eval()函数的执行过程会存在一些安全问题,因此在实际开发中应该尽量避免使用eval()函数。如果必须使用,应该注意对输入的字符串进行严格的验证和过滤,避免恶意代码的注入。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值