用eval不如用Function

最新推荐文章于 2024-02-22 18:31:05 发布
最新推荐文章于 2024-02-22 18:31:05 发布
阅读量2.4k 收藏
点赞数
分类专栏: JavaScript 文章标签: javascript eval Function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22509715/article/details/72571689
版权

忘记在哪本书中看到过这样一句话,eval()是一个魔鬼。

平时在处理用Ajax请求的JSON数据时,有些人会用eval。这中间存在安全隐患。还有的是,在使用定时函数,setInterval()、setTimeout()时,有些写法也会导致类似eval()的隐患。

例如:

setTimeout("myFunc()"1000);
setTimeout("myFunc(1,2,3)" , 1000);

new Function()构造函数和eval()比较类似,但new Function()的代码是在局部函数空间中运行,因此代码中任何采用var定义的变量不会自动成为全局变量。

另一种解决方案是把eval()调用封装在一个即时函数中。

console.log(typeof un);         //undefined
console.log(typeof deux);       //undefined
console.log(typeof trois);      //undefined

var jsstring = " var un = 1 ; console.log(un);";
eval(jsstring);                 //输出 "1"

jsstring = " var deux= 2 ; console.log(deux);";
new Function(jsstring)();       //输出 "2"

jsstring = " var trois= 3 ; console.log(trois);";
(function(){
    eval(jsstring);
}())                            //输出 "3"

console.log(typeof un);         //Number
console.log(typeof deux);       //undefined
console.log(typeof trois);      //undefined

二者另外一个区别是eval()会影响到作用域链,而无论在哪里执行Function,它都仅仅只能看到全局作用域。

栗子

(function(){
    var local = 1;
    eval("local = 3 ; console.log(local);");      //"3"
    console.log(local);                           //"3"
}());

(function(){
    var local = 1;
    Function("console.log(typeof local);")();     //undefined
}());
Jouryjc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eval(function(p,a,c,k,e,d)解码工具
05-31
解码 eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};
evalnew Function的区别是什么?是否有共同点?
开心大表哥
04-19 2172
eval()是一个危险的函数, 它使用与调用者相同的权限执行代码。如果你用eval()运行的字符串代码被恶意方(不怀好意的人)修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。相似的Function就不容易被攻击。 ​
JS中,eval, new Function, native处理JSON的性能比较
iteye_9861的博客
04-12 403
JSON作为JS中一种数据格式,应用非常广泛,在JS中,处理JSON的方法有三种,下面分别介绍这三种方式的使用方法及这三种方法的性能比较。   var jsonString;   一、eval 方式:   var str = eval('('+ jsonString +')'); 1、为什么要加括号? 加上圆括号的目的是迫使eval函数在评估JavaScript代码的时候...
Python 的 eval() 函数:动态执行字符串表达式
最新发布
GitHub_miao的博客
02-22 943
eval()函数是 Python 中的一个内置函数,用于动态执行字符串表达式。expression是一个字符串,包含要执行的 Python 表达式。globals是一个可选参数,表示全局命名空间(字典类型)。locals是一个可选参数,表示局部命名空间(字典类型)。eval()函数是 Python 中一个非常强大且灵活的函数,可以用于动态执行字符串表达式。通过合理地应用eval()函数,可以实现许多有趣和实用的功能,但在使用时需要注意安全性和性能问题。希望本文提供的示例能够帮助大家更好地理解和应用。
【Web技术】1589- 带你了解前端沙箱到底是什么
pingan8787
02-08 598
什么是“沙箱”也称作:“沙箱/沙盒/沙盘”。沙箱是一种安全机制,为运行中的程序提供隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。沙箱能够安全的执行不受信任的代码,且不影响外部实际代码影响的独立环境。有哪些动态执行脚本的场景?在一些应用中,我们希望给用户提供插入自定义逻辑的能力,比如 Microsoft 的 Office 中的 VBA,比如一些游戏中的 lua 脚...
js eval() 安全
bkhech的专栏
02-27 3983
eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。JavaScript中的eval()不安全,可能会被利用做XSS攻击(跨站脚本攻击(Cross Site Scripting)),eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 eva
js中的evalFunction
小米人的博客
10-28 2014
一、eval() eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。 eval(string) string必需。要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的语句。 实例 <script type="text/javascript"> eval("x=10;y=20;document.write(x*y)") documen...
eval()和Function
weixin_40014283的博客
10-30 2097
JS中将JSON的字符串解析成JSON数据格式,一般有两种方式: 一种为使用eval()函数。 使用Function对象来进行返回解析。 eval() 1.函数接受一个参数string,如果 string 参数不是原始字符串,那么该方法将不作任何改变地返回。否则执行string语句。如果执行结果是一个值则返回此值,否则返回undefined。 2.使用eval来解析JSON格式字符串的时
eval()和Function()的区别
tm308944952的专栏
12-14 950
evalFunction
eval is not a function
m0_60317712的博客
07-31 1255
可以使用 JSON.parse() 来转换字符串。原因是因为小程序不支持 eval 语法。
小程序eval完美替代方案
轻量开发
09-09 1万+
前言:在微信小程序使用eval进行计算的时候报错TypeError: eval is not a function,因为官方为了安全考虑把eval功能去掉了,网上有很多方法试过了不行,因此用二叉树算法完成简单四则运算可以满足一下简单的计算。 1.原理:二叉树算法完成简单四则运算,完成简单+-*/ ()的运算 2.熟悉概念 中缀表示法(或中缀记法)是一个通用的算术或逻辑公式表示方法, 操作符是...
javascript使用eval或者new Function进行语法检查
10-28
使用代码来实现分析代码的语法,这是一件极其痛苦的事情。简单的解决办法是:使用脚本引擎自己的语法检查,比方说eval( ) 或者new Function( )。
邪恶的evalnew Function使用介绍
09-05
些代码可以干什么?可以肯定的是可以干很多猥琐的事
IE 当eval遇上function的处理
09-05
在IE下,当eval遇上function,IE下会出现怪异情况,我们用例子一步步说明
关于evalnew Function 到底该选哪个?
09-08
本篇文章小编将为大家介绍,关于evalnew Function 到底该选哪个?有需要的朋友可以参考一下
微信JS-SDK中getLocalImgData的坑
热门推荐
Jour的博客
10-19 2万+
经常开发微信web需求的童鞋对微信jssdk肯定不会陌生。但是里面的坑未必都踩过,特此分享这篇填坑教程,与大家共勉。 微信获取本地图片接口: wx.getLocalImgData({ localId: '', // 图片的localID success: function (res) { var localData = res.localData; // l
带你跳出H5输入框input的坑
Jour的博客
09-06 2万+
移动网页开发中input触发的手机键盘压榨页面布局的解决办法。
微信浏览器阻止页面拖动
Jour的博客
02-20 1万+
经常开发H5的童鞋一定会遇到这样的问题,当你的页面中有滑动或者拖拽事件时,整个网页也会随着移动。然后还能够看到域名信息。这是非常崩溃的体验!但是这个问题非常好解决,只要在body标签添加禁止滑动或者拖拽事件即可。这样的话,即使是其他子事件的滑动或者拖拽也会在这里给阻止掉。document.body.addEventListener('touchmove' , function(e){ e.p
解决type=file中获取不到value值
Jour的博客
09-16 1万+
做前端开发的童鞋肯定会遇到这样的需求,获取表单里面全部input的值。但是也不难发现这样的bug,给type=“file”的input标签赋值value,然后再通过js去获取value的时候,发现根本拿不到想要的那个值,拿到的是空字符串。通过zepto或者jquery的源码也可以看出来,form表单的参数序列化方法serialize$.fn.serializeArray = function() {
eval(function 解码
08-13
eval()函数是JavaScript中的一个内置函数,用于将字符串当作代码来执行。它接受一个字符串作为参数,并且会将该字符串解析成可执行的代码,并执行它。 eval()函数在一些特定的场景中非常有用,例如当我们需要动态地执行一段代码时,或者需要根据用户输入来执行不同的代码逻辑时。但是,由于它的功能强大,同时也对安全性存在一定的隐患,因此在使用eval()函数时需要谨慎对待。 当我们遇到eval(function)这种表达式时,意味着我们需要对一个以函数形式存在的字符串进行解码。具体来说,我们可以将这个字符串传递给eval()函数,然后它会将其解析成可执行的函数并执行。 例如,如果我们有一个字符串"var x = 10; console.log(x);",并且我们希望将它解析成一个函数并执行,我们可以使用eval()函数来实现: eval("var x = 10; console.log(x);"); 这样,字符串"var x = 10; console.log(x);"就会被解析,并且变量x会被赋值为10,然后在控制台中输出10。 需要注意的是,由于eval()函数的强大功能和潜在的安全风险,一般来说我们应该尽量避免使用它。在实际编程中,我们应该考虑使用其他更安全、更可控的方式来实现我们的需求,以确保代码的可靠性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值