避免使用eval(...)和with

最新推荐文章于 2022-09-18 15:33:14 发布
最新推荐文章于 2022-09-18 15:33:14 发布
阅读量298 收藏
点赞数
文章标签: javascript
原文链接:https://blog.csdn.net/sinat_41212418/article/details/119720672
版权
本文详细介绍了JavaScript中的eval()函数和with语句的使用及其潜在风险。eval()函数可能导致词法作用域改变、执行恶意代码以及性能下降;with语句虽然简化了对象属性访问,但可能造成作用域混淆。为了性能优化,应避免使用eval()和with,并给出了替代方案。同时,文章强调了这两个机制对JavaScript引擎优化的影响,建议开发者谨慎使用。
摘要由CSDN通过智能技术生成

eval(…)

eval(…)函数可以接受一个字符串作为参数,从而执行字符串参数组成的JavaScript代码。

eval("alert('Hello world!')")

上面代码运行会在浏览器窗口弹出"Hello world!"。

eval(…)函数通常被用来执行动态创建的代码,比如程序中逻辑生成或者从服务端获取的动态字符串JavaScript代码,这看上起很酷,但是不到万不得已不要使用它。

eval(…)函数坏处如下:

会对所处的词法作用域作出修改
可能会执行恶意JavaScript代码
带来的好处无法抵消性能上的消耗

会对所处的词法作用域作出修改

function render(str,a){
    eval(str);
    console.log(a,b) // 1 3
}
var b = 2;
render('var b = 3',1);

按照预期,程序应该输出的是1和2,但是这里输出了1和3,对于a没有什么好说的。但是输出3就有点让人费解。
其根本原因是因为eval函数修改了render函数词法作用域,在render函数内部创建了一个变量b,并遮蔽了外部(在这里是全局)作用域中的同名变量b,所以就输出了3。

可能会执行恶意JavaScript代码

function render(str,a){
    eval(str);
    console.log(a,b)
}
var b = 2;
render('for(;;);',1);

运行上述代码,会进入一个死循环,从而导致应用程序奔溃。在这里测试的时候我们传入eval的参数仅仅是一个死循环for的字符串,如果传入的字符串是网站攻击者别有用心处理过的,那么危害就比应用程序崩溃就大的多了。

带来的好处无法抵消性能上的消耗

使用eval(…)函数是有额外的性能消耗的,在JavaScript代码运行的同时必须启动一个新的解析器来解析这些字符串代码,启动新的解析器是有一定的开销的。
除了eval(…)函数,JavaScript中还有几种函数当接受字符串为参数的时候,也会启用额外的解析器,带来性能消耗。

var render = new Function("console.log('new Function')");
render();

setTimeout("console.log('setTimeout')", 500);

setInterval("console.log('setInterval')", 500);

应当避免上面使用方式,可以适当修改代码来获得性能上的提升。

// var render = new Function(func1); 不要使用
// render();

function func1() {
    console.log('setTimeout')
}

function func2() {
    console.log('setInterval')
}

setTimeout(func1, 500);
        
setInterval(func2, 500);

with

with语句简化了对同一个对象相关属性访问的操作。

var person = {
    name:"render",
    age:21,
    sex:"男"
};

// 重复使用person进行属性的访问
console.log(person.name,person.age,person.sex);

//简化对person属性的访问
with (person) {
     console.log(name,age,sex);
}

上面两个console.log语句输出完全一致,第一个输出语句没有什么好解释的,第二个输出语句是因为with将可以将一个没有或有多个属性的对象处理为一个完全隔离的词法作用域,对象的属性会被处理为在这个作用域的词法标识符,所以可以读取相关属性值。

但是并不推荐使用with语法来开发应用程序,因为with语法水太深,你把握不住。

 //简化对person属性的访问
 //简化对person属性的访问
with (person) {
     var a = 3;
     job = '前端工程师';
     age = 25;
     console.log(name, age, sex);
     console.log(a);
     console.log(job); // 前端工程师
     console.log(person.job); // undefined
     console.log(age);
}
console.log(a); // 3
console.log(person.job) // undefined
console.log(person.age) // 25

先不看var a = 3 语句,之前我们知道了with语句会创建一个全新的词法作用域,在该作用域中person中没有和job相符的标识符(可以理解为该作用域下person没有job属性),所以job输出’前端工程师’,person.job为’undefined’。
在该作用域下存在和person.age属性相符的标识符,所以age和person.age输出都为25。
在看var a = 3 语句,尽管with语句可以将一个对象处理为词法作用域,但是内部正常的var声明并不会被限制在该作用域中,而是被添加到with语句所处的函数作用域中。(此处是全局)
总结

JavaScript引擎会在编译阶段进行数项的性能优化,其中有些优化依赖于能够根据代码的词法进行静态分析,并预先确定所有变量和函数的定义位置,才能在执行过程中快速找到标识符。而引擎在词法分析阶段无法明确知道eval(…)会接收到什么代码,这些代码会如何对作用域进行修改,也无法知道传递给with语句来创建新词法作用域的对象的内容到底是什么。这两个机制导致JavaScript引擎无法在编译时对作用域进行查找优化。

总之就是一句话,不要或者尽量避免使用它们,哪怕是在严格模式下。(在严格模式下,使用with语句会报错,使用eval(…)不会修改当前词法作用域,但还是存在安全问题)

叶岚羲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JS中eval函数使用示例
10-27
JavaScript中,`eval()`函数是一个非常特殊且功能强大的工具,它能够将一个字符串作为...在开发过程中,尽量遵循“不要信任用户输入”的原则,避免在不必要的情况使用`eval()`,以提高应用程序的安全性和性能。
python的exec、eval使用分析
09-21
当确实需要动态执行代码时,应确保明确地指定作用域,并考虑使用更安全的替代方案,例如`ast.literal_eval()`,以避免潜在的安全漏洞。 以上就是Python中`exec`和`eval`的详细使用分析。希望对您有所帮助!
eval()函数的用法
weixin_46667735的博客
09-18 1万+
1. eval()函数函数基本原理 eval(s)函数将去掉字符串s最外侧的引号,并按照Python语句方式执行去掉引号后的字符内容。 使用方式如下: <变量>=eval(<字符串>) a = eval("1.2") print(a) 输出结果: 1.2 犹如: pybook = 123 a = eval("pybook") print(a) 值得注意的是: a = eval("pybook") print(a) 将报错: Traceback (most recen
java过滤防止sql注入过滤
weixin_30300523的博客
09-01 240
/** * 过滤特殊字符 * @author: Simon * @date: 2017年8月31日 下午1:47:56 * @param str * @return */ public static String StringFilter(String str){ str = str.replaceAll("<", "&lt;").replaceAll(">"...
【知识点】eval() 的用法
mzy20010420的博客
09-18 1万+
eval () 作用 只去掉最外层引号eval()的参数形式为字符串或字符串变量,在程序中可以将字符串形式的输入值转化为数字进行计算。
Insist
gw616的博客
08-22 583
JavaScript面试题集锦 1.js基础 1.eval是做什么的? 它的功能是把对应的字符串解析成JS代码并运行; 应该避免使用eval,不安全,非常耗性能(2次,一次解析成js语句,一次执行)。 由JSON字符串转换为JSON对象的时候可以用eval,var obj =eval(’(’+ str +’)’); 2.什么是window对象? 什么是document对象? window对象是指浏...
关于javascript避免使用eval的理解
weixin_42476786的博客
10-08 1157
这两天在翻阅《JavaScript模式》的时候,看到一个标题,“避免使用eval()”,这不禁让我想探索一下,为什么要避免使用eval。 首先我们来先看一下eval()的定义: 执行一段字符串中的JavaScript代码。 摘要: eval(code) 参数: code 包含待求知的JavaScript表达式或待执行的JavaScript语句的字符串。 返回: 求值后的代码的值,如果存在对应的值...
javascripteval和with用法实例总结.docx
01-13
### JavaScript中的`eval`与`with`用法...- **不建议使用**:现代JavaScript编码实践中一般避免使用`eval`和`with`,除非有充分的理由。现代前端框架和库提供了更安全、高效的替代方案来处理动态代码生成和属性访问。
global-load-from-eval-in-with.rar_inside
09-19
压缩包内的两个文件名,15.9.3.8-4.js 和 global-load-from-eval-in-with.js,可能分别代表了两个测试用例或者不同的实现方式,用于验证“eval”在“with”语句中对全局变量的访问行为。15.9.3.8-4.js 可能对应...
选择.docx
最新发布
05-12
为了避免这种精度问题,可以使用 `round()` 函数或其他方法来进行比较。 #### 13. 执行 `print(round(0.1+0.2,1)==0.3)` 的结果 题目询问了执行 `print(round(0.1+0.2,1)==0.3)` 的结果。 - **答案**:**D、True**...
为什么尽量不要使用eval函数和with关键字
then啥
09-22 1701
编译过程:分词/词法分析;解析/语法分析;代码生成 词法作用域:定义在词法阶段的作用域 相关概念: 作用域:是一套规则,定义了引擎如何在作用域中通过标识符名称对变量进行查找 作用域工作模型:词法作用域、动态作用域 词法化:编译器工作的第一阶段,即对代码中的字符进行检查。如果是有状态的解析还会赋予单词语义 1.性能问题: ①.js引擎会在编译阶段进行性能优化,其...
Python 不要滥用eval()函数
平人的博客
11-12 668
在开发时不能使用eval直接转换input的结果。 使用eval输入 __import__('os').system('终端命令') 等价于 import os os.syestem(终端命令) 当你使用eval转换input输入的结果时,输入端可以直接输入系统命令对系统进行操作甚至修改文件。 ...
JavaScript基础避免使用eval()(006)
weixin_33851429的博客
09-12 141
许多人认为eval()方法是邪恶(evil)的。这个方法可以把任意字符串当成Javascript代码来执行。我们应该尽可能的不用eval()方法。比如,可以使用方括号来得到对象属性的值: // antipattern var property = "name"; alert(eval("obj." + property)); // preferred var property = "...
eval()函数使用
热门推荐
gaoyuan1044704446的博客
03-09 1万+
1.eval() 函数作用:可以接受一个字符串str作为参数,并把这个参数作为脚本代码来执行。2.参数情况:(1)如果参数是一个表达式,eval() 函数将执行表达式;                  (2) 如果参数是Javascript语句,eval()将执行 Javascript 语句3.注意:(如果执行结果是一个值就返回,不是就返回undefined,如果参数不是一个字符串,则直接返回该...
javaScript 避免使用eval
weixin_30709809的博客
07-18 341
如果你现在的代码中使用eval(),记住该咒语"eval()是魔鬼".此方法接受任意的字符串,并当作javaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),如果代码是运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。 例如,用方括号表示法来访问动态属性会更好更简单: var property="name";  alert(eval("obj."+p...
javascripteval函数和JSON.parse函数处理json中的引号和\斜杠转义字符
程宇寒
09-26 1465
也可以看我这篇文章 直接po图和代码(源代码贴在最后面了) 源代码我没怎么整理,大家凑合看吧! 以下可以正常读取json数据 以下是错误的写法,下面会贴源代码 下面贴源代码 testJson.jsp页面,这是显示数据的前端页面 <%@ page language="java" contentType="text/html; charse...
<%#Eval() %>的常用方法
xiaouncle的博客
01-17 1万+
<%# Eval("DriverName")%>2、简单判断用法 <%# Eval("DriverName").ToString()==""?"未知":Eval("DriverName").ToString()%>3、复杂用法,用一个后台方法,封装,前台输出<%# ChangeDriverName(Eval("DriverName").ToString())%>后台代码:protected stri
转义字符 反斜杠
惜双若雅的博客
11-17 1万+
正斜杠(左斜杠),符号是"/";反斜杠(右斜杠),符号是""。     在Unix/Linux中,路径的分隔采用正斜杠"/",比如"/home/hutaow";而在Windows中,路径分隔采用反斜杠"",比如"C:WindowsSystem"。     有时我们会看到这样的路径写法,"C:\Windows\System",也就是用两个反斜杠来分隔路径,这种写法在网络应用或
eval() 括号中必须是字符串
bonlog的专栏
09-25 2121
我在做空运海运查询时,因为要动态的查询吗 eval() 括号中必须是字符串 假如你写 $a=1; eval("echo (\$a+\$b);"); 运行结果是 1 如果是   $a=1; eval("echo ($a+$b);"); 则报错 这说明里面最好是严格的字符串 并且是完整的PHP语句 $a=1; eval("echo \$a;");  $a=1; eval("echo
model.eval()和with torch.no_grad()什么区别
03-28
`model.eval()`是将模型设置为评估模式,即在训练过程中不进行梯度计算,不改变权重,而是直接用已经训练好的参数对数据进行推断。它主要用于测试集的推断阶段,可以加快推断速度,减少内存占用。 `with torch.no_grad()`是一个上下文管理器,用于在代码块中禁用梯度计算。它可以避免不必要的计算和内存占用,并且可以提高代码执行效率。与`model.eval()`不同的是,`with torch.no_grad()`可以用于任何需要禁用梯度计算的情况,例如推断时需要计算的一些中间变量不需要梯度,或者在训练时需要对一些变量进行更新但不需要计算梯度的情况
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值