【译】以 eval() 和 new Function() 执行JavaScript代码

最新推荐文章于 2024-01-01 23:01:28 发布
最新推荐文章于 2024-01-01 23:01:28 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: WEB前端 文章标签: javascript eval new Function
原文链接:http://blog.chinaunix.net/uid-26672038-id-4086689.html
版权

本博文探讨在 JavaScript 中如何动态的执行代码。

eval()

以 str 的方式运行 JavaScript 代码,比如:

var a = 12;
eval( 'a+5' );  // 17

注意语句上下文 eval() 的解析:

eval( '{ foo: 123 }' );  //123

eval( '({ foo: 123 })' ); //{ foo: 123 }
严格模式下的 eval()

对于 eval(),理应当在严格模式下使用。在松散模式下运行代码会在当前的作用域中创建局部变量:

function f(){ 
	eval( 'var foo = 1' );
	console.log( foo ); // 1
}

严格模式下就不会出现该情况。但是,eval中运行的代码仍然具有读写当前作用域中变量的权限。你需要通过间接调用 eval() 来阻止这种权限。

全局作用域下间接执行 eval()

有两种调用 eval() 的方式:

  1. 直接方式:通过直接调用名为 eval 的函数。
  2. 间接方式:使用其他的一些方式。(通过 call 调用,将其以其他名字作为 window 下的一个方法存储,在那里进行调用) 之前已经看过,在当前作用域直接使用 eval 执行代码
var x = 'global'; 
function directEval(){
    'use strict';
    var x = 'local';
    console.log( eval('x') ); // local
}

反之,在全局作用域中间接调用 eval

var x = 'global'; 
function indirectEval(){
    'use strict';
    var x = 'local';
    // 不同方式调用 call 
    console.log( eval.call(null, 'x') ); // global
    console.log( window.eval('x') ); // global
    console.log( (1,eval)('x') ); // global (1)
    var xeval = eval;
    console.log( xeval('x') ); // global
    var obj = { eval: eval }
    console.log( obj.eval('x') ); // global
}

(1)处说明:当你通过一个名称来引用一个变量的时候,其初始值为一个所谓的引用,数据结构分为两部分:

  1. 基础是指向存储变量的值的数据结构。
  2. 引用名是变量的名称
    在一个函数调用 eval 的时候,该函数的调用操作符(括号)遇到一个对 eval 的引用可以确定被调用函数的名称。所以此时函数会触发一个直接的 eval 调用。当然你可以不给调用操作符引用来强制间接调用 eval。这是由于在操作符运行之前获取引用的值来实现的。在 (1)标注的那一行,逗号操作符为我们实现的这点。这个运算符运行了第一个运算元并返回了第二个运算元的结果。运算结果总是返回 值 的,意味着引用已经被解析。 间接的运行代码总是松散的。这是由于代码被独立的在当前环境中运行的结果。
function strictFunc(){ 
    'use strict';
    var code = '(function(){ return this; }())';
    var result = eval.call( null, code );
    console.log( result !== undefined ); // true sloppy mode
}

new Function()

Function 构造函数的函数签名。

new Function( param1, param2, ..., paramN,funcBody );

它创建一个包含0个或者多个参数名为 param1 等的函数,函数体为 funcBody。相当于如下方式创建函数:

function( (param1), (param2), ..., (paramN) ){ 
    (funcBody)
}

例如:

var f = new Function('x', 'y', 'return x+y'); 
f( 3, 4 )

间接 eval 调用类似,new Function() 创建的函数作用域也是全局的。

var x = 'global'; 
function strictFunc(){
   'use strict';
   var x = 'local';
   var f = new Function('return x');
   console.log( f() ); //global
}

以下的函数也是默认松散模式

function strictFunc(){ 
    'use strict';
    var sl = new Function( 'return this' );
    console.log( sl() !== undefined ); // true, sloppy mode
    var st = new Function( '"use strict"; return this;' );
    console.log( st() !== undefined ); // true, strict mode
}

eval() 对比 new Function()

一般来说,使用 new Function() 运行代码比 eval() 更为好一些:函数的参数提供了清晰的接口来运行代码,而没有必要使用较为笨拙的语法来间接的调用 eval() 确保代码只能访问自己的和全局的变量。

最佳实践

通常:避免使用 eval() 和 new Function() 。动态运行代码不但速度较慢,还有潜在的安全风险。一般都可以找到更好地替代方案。如,Brendan Eich 最近在 tweete发了一个程序猿需要访问某一个属性,其属性名被存储在名为propName的变量中的反模式:

var value = eval( 'obj.'+propName );
// 以下方式会更OK: 
var value = obj[ propName ];

你也不应该使用 eval() 或者 new Function() 来解析 JSON格式的数据。那也是不安全的。要么使用 ECMAScript 5 内置的对JSON的支持方法,要么使用一个类库。

总结

这是对于动态运行代码较高层次的概述,如果想更深的了解可以看一下 kanhax的文章 “全局eval,何去何从?

感谢:Mariusz Nowak (@medikoo) 告知 使用 Function 运行代码默认形式均为松散模式。

参考文献

【1】 JavaScript 的 表达式和语句
【2】 JavaScript 严格模式:综述
【3】 JavaScript的 JSON API

转载自 http://blog.chinaunix.net/uid-26672038-id-4086689.html

照物华
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javascript使用eval或者new Function进行语法检查
10-28
使用代码来实现分析代码的语法,这是一件极其痛苦的事情。简单的解决办法是:使用脚本引擎自己的语法检查,比方说eval( ) 或者new Function( )。
邪恶的evalnew Function使用介绍
09-05
因此,在使用 Evalnew Function 函数时,需要非常小心,避免恶意代码执行。 在这篇文章中,我们探讨了 Evalnew Function 函数的邪恶使用介绍,并展示了它们可以干什么。我们也学习了数组和 Join 方法的...
Javascript动态执行JSnew Functioneval比较)
angou6476的博客
12-28 204
new Functioneval可以动态执行JS,只要把拼接好的JS方法,然后以字符串的形式传入到这两个函数,可以执行,其中new Function用在模板引擎比较多。 用 Function 类直接创建函数的语法如下: var function_name = new function(arg1, arg2, ..., argN, function_body) 在上面的形式...
eval() 和 new function()
youyouyouyou44的博客
07-13 572
eval()和new function()的功能基本相似:将字符串解析成js可以看懂的语言,即将字符串当做代码执行(动态解析和执行字符串)。 基本使用: var str='{a:1,b:2,c:3}'; console.log(eval('('+str+')').c); var str="{a:1, b:2, a:3}"; ...
神奇的eval()与new Function()
daihaoxin的专栏
05-19 1213
原文链接:http://imys.net/20151222/eval-with-new-function.html 在需要兼容IE8以下的日子里,往往需要使用eval()来把后端传过来的JSON串转成可操作的JSON对象。直到昨天在翻看jQuery源码时,才发现jQuery.parseJSON的兼容实现用的是new Function()。马上Google了相关资料,寻找两者的区别。 eval eval接受字符串参数,解析其中的js代码。如果编失败,会抛出异常,否则执行其中的代码,计算返回值。 eval('
JaveScript 的 newFunction
最新发布
宁静致远
01-01 1209
new Function() 是 JavaScript 中的一个构造函数,它可以实例化一个新的函数对象并返回。该函数对象可以使用传递给 new Function() 的字符串参数作为函数体,并使用其他传递给它的参数作为函数参数,从而动态创建一个可执行的函数。
关于evalnew Function 到底该选哪个?
09-08
`eval` 函数是一个全局函数,它能够将接收到的字符串当作JavaScript代码进行解析和执行。这种灵活性使得 `eval` 在某些场景下非常有用,例如动态生成代码或处理JSON数据。然而,`eval` 也因其潜在的安全风险和性能...
IE 当eval遇上function的处理
09-05
JavaScript的世界里,`eval` 是一个特殊且争议颇多的函数,它允许将字符串作为JavaScript代码执行。然而,不同的浏览器对于 `eval` 的处理方式可能存在差异,尤其是在Internet Explorer(IE)中。当我们把 `...
怎么使用javascripteval()函数
bestQz的博客
09-21 117
eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。 使用实例1 <script type="text/javascript"> eval("x=10;y=20;document.write(x*y)") document.write(eval("2+2")) var x=10 document.write(eval(x+17)) </script> 返回结果 200 4 27 使用实例2 eval("2+3") // 返回 5 var mye
js使用new Function() 执行代码块实现数学公式运算
weixin_43348064的博客
02-15 671
今天接到一个需求,需要在一个输入框输入算式公式,然后需要在表单填写的时候使用该公式进行计算值,由于是公司的代码无法展示,下面做一个例子来重点说明new function的其中一种使用方式
eval(function(p,a,c,k,e,d)解码工具
05-31
解码 eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};
new Functioneval的区别
u010227042的博客
04-03 360
因此,任意一个 eval 的使用都会强制浏览器进行冗长的变量名称查找,以确定变量在机器代码中的位置并设置其值。另外,新内容将会通过 eval() 引进给变量,比如更改该变量的类型,因此会强制浏览器重新执行所有已经生成的机器代码以进行补偿。如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个 eval() 被调用时的作用域,这也有可能导致一些不同方式的攻击。永远不要使用 eval!
js接收json总结 new Function,eval,new Array
小李李
02-08 488
①从json数据的形式来区分a.json数据格式为单条,如下data = '{"id":108150,"avaliable":"Y","code":"0009","name":"test","parentId":0,"shortName":"test"}'这时,可以通过 jseval 函数 和new Fun
evalnew Function的区别是什么?是否有共同点?
开心大表哥
04-19 2274
eval()是一个危险的函数, 它使用与调用者相同的权限执行代码。如果你用eval()运行的字符串代码被恶意方(不怀好意的人)修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。相似的Function就不容易被攻击。 ​
evalnew Function的简单介绍以及区别
weixin_44008717的博客
06-09 1541
一、简介 evalnew Function 都可以将一段字符串解析成一段js脚本并执行。 二、使用 1、eval 作为一个全局方法,传入一个参数(String)即可执行 let name = 'a' eval('console.log(name)') // 输出'a' 2、new Function new Function() 可以接n个参数,最后一个参数作为函数体。 let name = 'a' let test = new Function('arg', 'console.log(arg)')
new Function实现运行js代码
xujunxiong0621的博客
05-20 441
             运行一段代码,并不需要重新打开一个浏览器页面,然后write进去,很简单的方式就是使用Function来初始化运行。               我们可以通过在JavaScript new 一个function的方式来执行。              使用了jQuery的js     $(function(){ $("#run").click(func...
技术知识:JavaScriptEval函数的使用方法
nitamade的专栏
08-16 679
Eval 函数功能:先解释Javascript代码,然后在执行它用法:Eval(codeString)codeString是包含有Javascript语句的字符串,在eval之后使用Javascript引擎编。 举例1:通过Eval执行脚本var the_unevaled_answer = "2 + 3";var the_evaled_answer = eval("2 + 3");ale
JS fetch()用法详解
热门推荐
weixin_52148548的博客
05-11 4万+
目录了解fetch没有fetch时我们获取异步资源的方式:使用fetch后我们获取异步资源的方式fetch的语法fetch的Response对象1.同步属性2.判断请求是否成功发出3.操作标头4.读取Response对象内容的方法5.创建副本(clone)6.底层接口定制HTTP请求取消fetch请求 了解fetch - Fetch API 提供了一个获取资源的接口(包括跨域请求),用于取代传统的XMLHttpRequest的,在 JavaScript 脚本里面发出 HTTP 请求。 - 目前还没有被所有
js中的eval函数
wang9rui的博客
12-10 151
eval是一个函数,js的设计者将它变成类似运算符 eval的作用是什么呢? **它使用了调用它的 变量作用域环境** 举个简单的例子 function fn(){ eval("var a=1;") console.log(a)//它会改变局部变量的值 并且也可与生明一个新的局部变量 } fn() 全局eval():此函数可以通过别名去定义,当通过别名定义时,会改变全局的代码变量 而不会...
Rhino 如何获取function代码和名称
06-09
在Rhino中获取function代码和名称可以通过以下步骤实现: 1. 首先,将function定义为一个字符串,如下所示: ``` String functionStr = "function add(a, b) { return a + b; }"; ``` 2. 使用Rhino的ScriptEngine执行该字符串中的JavaScript代码,如下所示: ``` ScriptEngineManager manager = new ScriptEngineManager(); ScriptEngine engine = manager.getEngineByName("JavaScript"); engine.eval(functionStr); ``` 3. 使用Rhino的Function对象获取函数的代码和名称。 ``` // 获取函数对象 Function function = (Function) engine.get("add"); // 获取函数名称 String functionName = function.getFunctionName(); // 获取函数代码 String functionCode = function.toString(); ``` 以上代码中,首先获取函数对象,然后通过函数对象的getFunctionName()方法获取函数名称,通过toString()方法获取函数代码。 完整示例代码如下: ``` import javax.script.ScriptEngineManager; import javax.script.ScriptEngine; import org.mozilla.javascript.Function; public class RhinoExample { public static void main(String[] args) throws Exception { // 定义函数字符串 String functionStr = "function add(a, b) { return a + b; }"; // 创建ScriptEngineManager对象 ScriptEngineManager manager = new ScriptEngineManager(); // 获取JavaScript引擎 ScriptEngine engine = manager.getEngineByName("JavaScript"); // 执行JavaScript代码 engine.eval(functionStr); // 获取函数对象 Function function = (Function) engine.get("add"); // 获取函数名称 String functionName = function.getFunctionName(); // 获取函数代码 String functionCode = function.toString(); // 输出函数名称和代码 System.out.println("函数名称:" + functionName); System.out.println("函数代码:" + functionCode); } } ``` 以上代码将输出以下结果: ``` 函数名称:add 函数代码function add(a,b) {return a+b;} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值