“魔鬼”eval

最新推荐文章于 2021-06-09 11:56:08 发布
最新推荐文章于 2021-06-09 11:56:08 发布
阅读量599 收藏 1
点赞数
分类专栏: javascript 文章标签: eval new Function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/viewyu12345/article/details/83758138
版权

初识eval()

eval()函数在很多语言中都有,这仅仅讨论在JavaScript中的情况。由于eval()函数可以将任意字符串当做一个JavaScript代码来执行,所以可谓是特别强大了,经常的使用情况就是,函数名变化,来调用函数之类的。

但是为什么说是魔鬼:

如果你用 eval() 运行的字符串代码被恶意方(不怀好意的人)操控修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。——MDN

除上面破坏性之外的魔鬼之处:

  1. 篡改全局变量
  2. 影响到作用域链
  3. 要调用JS解释器,通常比替代方案慢

替代方案new Function()

优点:

在new Function()中运行的代码不会自动成为全局变量,eval()是会的,但是为了避免,可以将eval调用封装到一个立即执行的函数中。

var jsstring = 'var un = 1; console.log(un);';
eval(jsstring); // '1'

jsstring = 'var deux = 2; console.log(deux);';
new Function(jsstring)(); // '2'

jsstring = 'var trois = 3; console.log(trois);';
(function () {
    eval(jsstring);
})(); // '3'

console.log(typeof un); // 'number'
console.log(typeof deux); // 'undefined'
console.log(typeof trois); // 'undefined'

从上面代码可以看到,eval会影响到全局变量,当然,封装在匿名函数中调用就不会了,而new Function()不会。

eval是可以访问和修改它外部作用域的变量,然而new Function不会。

注意事项:

无论在哪里执行Function,他都仅仅能看到全局作用域,所以下面的变量访问不到。

(function () {
    var local = 1;
    Function ('console.log(typeof local);')();  // 'undefined'
})();

但是如果间接使用eval(),比如通过一个引用来调用它, 从 ECMAScript 5 起,那么将工作在全局作用域下,而不是局部作用域中。(外部是不能访问内部的,所以下面报错)

function test() {
    var a = 1, geval = eval;
    eval('console.log(a)'); // 1
    geval('console.log(a)'); // ReferenceError: a is not defined
}

对于具体的eval各种使用场景的替代方法,查看下面的链接即可。比如对象的调用使用方括号形式等等。 

参考资料

MDN eval()

《javasript设计模式》

雨中畅游
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Minillama3->sft训练
liguandong
06-21 102
SFT数据集分别为:[generated_chat_0.4M](https://huggingface.co/datasets/BelleGroup/generated_chat_0.4M)、[train_0.5M_CN](https://huggingface.co/datasets/BelleGroup/train_0.5M_CN)和[train_2M_CN](https://huggingface.co/datasets/BelleGroup/train_2M_CN),清洗后剩余约137万行。
JavaScript对象克隆+数组函数,数组去重+封装(七)
Miracle1203的博客
05-02 6830
JavaScript对象克隆 浅拷贝 浅拷贝引用值是要相互影响的,因为它是栈内存之间的赋值,赋值的是地址,一个更改,其他的都要更改。 var obj = { name :'abc', age : 123, sex : 'female', card : ['visa','master']//存在一个引用值 } var ...
EVAL IS EVIL?(eval 函数是魔鬼吗?)
weixin_39768377的博客
01-30 1464
1. eval的用法? eval() 函数可以用来计算某个字符串,并执行其中的javascript代码。其语法eval(string); 如果传入的参数不是字符串,则直接返回这个参数。 2.eval在什么时候使用? 当我们预先不知道执行什么语句,只有条件和参数给定时才知道执行什么语句 demo <!DOCTYPE html> <html> <head> ...
JavaScript探秘:eval()是“魔鬼
06-17 886
如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。如果代码是在运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。例如,用方括号表示法来访问动态属性会更好更简单: // 反面示例 var property = "name"; a
非常强大的JS页面调试工具,比火狐的findBug插件强大N倍。
06-09
用了就知道了,需要把下面的一个文件一起下载,然后解压在同一个目录下才能使用,因为本身这文件太大,我分开压缩了。。。。切忌切忌
JS--Eval()
喋喋的前端之路
06-09 454
引言: 被誉为魔鬼eval函数,今天看了一些文章和问答,总结了此博客,欢迎指正~ 本文示例默认全部启用严格模式 Eval执行代码字符串 内建函数eval允许执行一个代码字符串,代码字符串可能比较长,包含换行符、函数声明和变量等。 例如: let code = 'alert("hello")' eval(code) //hello eval的结果是最后一条语句的结果 例如: let value = eval('1+1') alert(value) //2 let value = eval('let i
魔鬼作坊51-106课教程
06-06
资源介绍:。A-51.CE绝了!借地址秒杀人物与地面物品坐标基址加偏移。 。A-52.惊爆!地爆天星式遍历出地面物品的相关数据。 。A-53.可恶!小小工具遍历出地面物品名称偏移。  。A-54.编疯了!闪电般疾速读取出地面物品“所有”相关数据。 。A-55.CE再度袭击!如何分析得出人物与玩家距离的内存地址。  。A-56.CE暴强!诸葛借箭术巧借地址秒杀人物与玩家距离的基址加偏移。 。A-57.超强!再次亮相小工具遍历出玩家的相关数据。 。A-58.诸葛之借!巧借基址加偏移搞定玩家名称偏移。  。A-59.编疯了!极度风暴快速读取出玩家的“所有”相关数据。 。A-60.编疯了!编写自动选怪功能。 。A-61.编疯了!编写自动普通攻击功能。  。A-62.编疯了!运用二种思路编写自动技能攻击功能。 。A-63.编疯了!编写快捷键方式自动补血功能。  。A-64.编疯了!利用吃药CALL编写自动补蓝功能。 。A-65.编疯了!编写自动捡物功能。 。A-66.编疯了!编写死亡自动回程功能。 。A-67.编疯了!编写自动喊话功能。 。A-68.编疯了!编写定点自动挂机功能。  。A-69.
再探JS---eval函数
weixin_45683463的博客
12-29 1259
eval函数 “魔鬼”函数? 如果你现在的代码中使用了eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。eval 用的好不好 其实和使用者的水平有关系 作用域 在eval()中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval()执行的时候创建 为什么不提倡使用eval函数? 可读性非常差 不好再做优化和编译 会轻微增加性能消
《Metasploit渗透测试魔鬼训练营》 之 文件包含
duangduang2020的博客
10-07 1712
文件包含漏洞包括本地文件包含(LFI)和远程文件包含(RFI)。详细讲解请自行度娘,这里一是利用最简单的代码对文件包含漏洞进行展示;二是结合《metasploit渗透测试魔鬼训练营》的实验环境进行讲解。 一、本地文件包含漏洞(LFI) (一)LFI展现 在WEB服务器A(192.168.80.1)下有三个文件 1.fl.php        : 2.read.php      :  3
CE6.2 魔鬼作坊贺岁版
08-01
CE6.2 魔鬼作坊贺岁版
CE6.3最新汉化版
11-17
CE6.3最新汉化版
CE_6.4.3_风叶人加强版
04-12
目前市场上为数不多的CE工具,查看基址的好工具,没有病毒,之前的收藏版
CE隐藏工具
04-22
酒盖隐藏小工具.exe
鬼鬼js调试工具 js逆向必备
06-18
鬼鬼js调试工具7.5,js逆向必备工具。本工具中包含dll文件和ec文件,解压即可直接运行。是一款不可多得的好东西。
魔鬼作坊 CE修改器
01-23
CE工具,进化版,无毒,无插件,魔鬼作坊VIP专用
eval()不是魔鬼,只是被误解了(翻译)
weixin_34268753的博客
02-04 382
原文来自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Zakas 在JavaScript中,我不确定是否有比eval()受到更多诽谤的。它就是个简单的函数被设计用来将字符串转换为可被执行的JavaScr...
CE6.1_魔鬼作坊优化版.rar
05-07
CE6.1_魔鬼作坊优化版.rar
魔鬼作坊CE6.2贺岁版
11-20
魔鬼作坊CE6.2贺岁版 很好用的一款软件
js 魔鬼训练
dicha7140的博客
01-09 99
1、Object.assign 偷梁换柱 / 融合  - 将多个对象合并到第一个对象中去。这样一来methods对象中就包含着data对象了。否则this无法正常访问data中的title var news={ data(){ return { id:101, title:"新闻标题" } }, ...
eval
最新发布
05-31
`eval` 是 JavaScript 中的一个全局函数,它的作用是将字符串解析为 JavaScript 代码并执行。具体来说,`eval` 的参数是一个字符串,它会将这个字符串作为一段 JavaScript 代码来执行,并返回执行结果。 例如,下面这段代码使用 `eval` 将一个字符串解析为 JavaScript 代码并执行: ```javascript var codeStr = "alert('Hello, world!')"; eval(codeStr); // 弹出对话框显示 "Hello, world!" ``` 需要注意的是,使用 `eval` 函数存在一定的安全风险,因为它可以执行任意字符串作为代码,包括恶意代码,因此应该尽量避免使用 `eval` 函数。同时,如果必须使用 `eval` 函数,应该确保传入的字符串是可信的,避免被注入恶意代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值