eval —— javascript 永久的忌讳

最新推荐文章于 2024-05-26 09:59:54 发布
最新推荐文章于 2024-05-26 09:59:54 发布
阅读量3.9k 收藏 1
点赞数 1
分类专栏: rules 文章标签: javascript eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dwc2011/article/details/51181439
版权

        在 js 的学习过程中,经常会看到 不推荐使用 eval,甚至将 eval 比为 evil(恶魔)。本人也是觉得,如果没有十足的必要,就不要用 eval。eval 的作用是能够将一段 js 文本字符串变成可执行的 js 代码,与此有类似功能的还有:Function、setInterval、setTimeout不建议使用 eval 的理由有以下几点:


1. eval 不容易调试:

        在 chromeDev 等环境下,在 eval 处是不能打断点的;


2. eval 的性能低:

        现代浏览器中有两种编译模式:fast path 和 slow path,fast path 是编译那些稳定且可预测的代码,而 eval 明显是不可预测,所以编译的时间会很慢。


3. 安全问题:
        这也是我觉得最主要的原因,eval 在处理不确定字符串的时候,会引起 XSS(跨站脚本攻击)。而且不光是eval,其他方式也可能引起安全问题。比如:莫名其妙给你注入一个<script src="">标签,或者一段来历不明的JSON-P请求,再或者就是Ajax请求中的eval代码…所以啊,只要你的信息源不安全,你的代码就不安全。不单单是因为eval引起的。
小土為尘
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaScripteval函数的问题
01-21
今天看代码,遇到一个eval函数的问题,到现在翻了很多博文,还是不是很懂eval函数,有个一直没法理解的代码如下: /* var start = [] , end = [] , timings = []; */ function f(){ //模拟程序执行时间 var sum = 0; for(var i =0 ;i < 100000; i++){ sum = sum/(i+1); } } function repeat(n, action){ for(var i=0; i<n ;i++){ eval(action); // eval函数 } } function b
Javascript学习笔记4 Eval函数
10-29
JavaScript中的`eval()`函数是一个非常强大但又充满争议的工具,它允许我们将字符串作为JavaScript代码执行。在初学JavaScript时,很多人可能都听说过`eval()`,但对其具体用途和潜在风险不太了解。本文将深入探讨`...
eval的功能和缺点
chenxiaodage的博客
01-29 1391
eval的功能是将对应的字符串解析成js代码 缺点是不安全,消耗性能 有json字符串转换成json对象的时候可以用eval, var obj = eval('('+str+')')
安全的JavaScript执行利器:Safe-Eval
最新发布
gitblog_00097的博客
05-26 441
安全的JavaScript执行利器:Safe-Eval 项目地址:https://gitcode.com/hacksparrow/safe-eval 在软件开发中,我们有时需要动态地执行一些JavaScript代码,但直接使用eval()函数可能会带来安全风险,因为它允许执行任意代码。为了解决这个问题,开源社区为我们提供了一个名为safe-eval的库,它让我们能够在控制的环境中执行JavaScr...
关于JS中的eval()函数问题
Mr_Yan的博客
05-27 3711
今天练习ajax时,用到了eval()函数【ajax返回的文本字符串】,但相关知识点已记不太清楚了,于是就去查找相关资料,做了以下整理。 1:eval()是什么? eval()方法就像是一个完整的ECMAScript解析器,即要执行的ECMAScript(或JavaScript)的自符串的解析器。 Eg: eval("alert(11)") //等价于 alert(11); 2:ev
为什么使用JavaScript eval函数是个坏主意?
asdfgh0077的博客
01-14 490
eval函数是一种动态生成代码的强大而简便的方法,那么有哪些警告?
eval()函数功能介绍及弊端说明
大剑师兰特的GIS世界
06-17 1592
如果用恶意用户在json字符串中注入了向页面插入木马链接的脚本,用eval也是可以操作的,而用JSON.parse()则不必担心这个问题,可见,虽然eval()功能很强大,但是实际用到的机会并不多。相对于写法格式严格的JSON.parse()来说,eval()可以解析任何字符串,eval是不安全的,因为eval比较宽松,会有潜在的安全性问题。使用eval()函数也可以将JSON字符串解析为对象,这个功能能完成JSON.parse()的功能,但是有不一样的地方,请看下面代码。//解析为JSON对象。
JavascriptEval函数的使用说明
10-30
JavaScript中的`eval()`函数是一个非常强大的工具,它可以将接收到的字符串当作JavaScript代码来执行。这个功能使得动态编程成为可能,允许程序根据运行时的条件或用户输入来改变其行为。然而,`eval()`的使用也需要...
javascript eval函数深入认识
10-30
JavaScript 的 `eval` 函数是一个强大且复杂的工具,主要用于将字符串转化为可执行的 JavaScript 代码。在深入讨论之前,我们首先要明确一点:`eval` 的使用应当谨慎,因为它可能导致安全风险,例如执行恶意代码,...
JavaScript Eval 函数使用
10-29
JavaScript Eval 函数使用,需要的朋友可以参考下。
javascripteval函数用法分析
10-24
主要介绍了javascripteval函数用法,实例分析了javascripteval函数的使用技巧,非常具有实用价值,需要的朋友可以参考下
js eval()函数的一些见解
11-25
一、eval是基本使用规则 •1 eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。 •2 eval(string) •3 string必需。要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的语句。 •4 eval()只有一个参数。 •5 eval使用比较不安全,忘慎重使用 二、eval的错误使用方法 •1 如果传入的参数不是字符串,它直接返回这个函数。 •2 如果参数是字符串,它会把字符串当成JavaScript代码进行编译,如果编译失败者抛出一个语法错误异常。 •3 如果编译成功,则开始执行这一段代码,并返回字符串中的最后一个表达式或语句
JavaScript中到底推不推荐使用 eval
程宇寒
05-27 2563
JavaScript中到底推不推荐使用 eval?这里有一篇知乎上的讨论帖,大家众说纷纭,莫衷一是!
eval安全缺点
xiaoHelloWord的博客
07-17 481
1.xss攻击 2.sql注入
细说JavaScript中的eval()不安全
weixin_34245749的博客
04-27 2741
细说JavaScript中的eval()不安全,eval()安全问题就在于它能把传入的字符串当做javascript代码执行。有的人可以在eval()里注入字符串,比如你要传入一个数组,有人可以改[1,2,function(){开始修改}],本来该传预期的数组,但是这里却有匿名函数。通过evaljavascript解析执行后,匿名函数被执行。你该知道后果,比如可以通过它修改...
为什么在javascript不建议使用eval()函数?
weixin_30914981的博客
03-05 734
eval伪装超时函数setTimeout和setInterval都接受字符串作为第一个参数,该字符串将在全局作用域执行,因为eval不是被直接调用的。 安全问题eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 这个例子中,由于响应的文本包含一个匿名函数,这个函数会修改页面中的第一个表单的action特性,导致表单在提...
js 浅谈eval()
weixin_33829657的博客
03-31 502
为什么80%的码农都做不了架构师?>>> ...
为什么不应该在JavaScript中使用eval()的原因
08-13 365
The eval() function has been around for a long time in JavaScript! You likely don’t see it often anymore because it’s widely agreed that it’s harmful to use. Let’s take a brief look at it, and some of...
JavaScript 为什么不推荐使用 eval
di84186的博客
06-06 715
作者:王欣彤链接:http://www.zhihu.com/question/20591877/answer/57705130来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 不推荐使用eval的原因有很多,1、eval 太神秘了,以至于很多人用错。所以不推荐使用。 比如这段代码你应该见过:&amp;lt;img src="https:/...
理解与实战:JavaScript eval语句及其应用
"eval"语句是JavaScript中的一个重要特性,它允许程序员在运行时计算并执行一段字符串形式的代码。 "eval"函数的核心用法是接受一个字符串参数,这个字符串代表了JavaScript代码片段,函数会尝试解析这个字符串并...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值