为什么在javascript不建议使用eval()函数?

最新推荐文章于 2020-08-13 11:15:32 发布
最新推荐文章于 2020-08-13 11:15:32 发布
阅读量724 收藏
点赞数
文章标签: javascript json ViewUI
原文链接:http://www.cnblogs.com/love0o/p/4316037.html
版权

eval伪装
超时函数setTimeout和setInterval都接受字符串作为第一个参数,该字符串将在全局作用域执行,因为eval不是被直接调用的。

安全问题
eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。

 


这个例子中,由于响应的文本包含一个匿名函数,这个函数会修改页面中的第一个表单的action特性,导致表单在提交时,所有数据都会被提及给一个 不同的服务器。因此,如果不对json数据进行过滤就直接将其传递给eval()的情况下,很有可能受到XSS攻击。因为服务器返回的任何 javascript代码在传递给eval()之后,都会在页面的上下文中求值,它就可以像类成员一样运行,对页面中的数据进行操纵。

因此,我们应该避免将服务器返回的javascript函数传入eval()函数中。

处理JSON串
处理JSON串需要添加"("和")"。

eval的作用域
在FF和Chrome下,下面两段代码有很大区别(IE没有这个问题,神奇的浏览器~):
代码一(局部作用域,IE下采用这种方式):

代码二(全局作用域,IE下采用execScript代替):

 

如果不用eval()函数能用什么替代

《高性能Javascript》一书即指出:

警告:关于JSON和eval需要注意的是:在代码中使用eval是很危险的,特别是用它执行第三方的JSON数据(其中可能包含恶意代码)时,
尽可能使用JSON.parse()方法解析字符串本身。该方法可以捕捉JSON中的语法错误,并允许你传入一个函数,用来过滤或转换解析结果。
如果此方法以备Firfox 3.5 、IE8 及 Safari 4 原生支持。大多数javascript类库包含的JSON解析代码会直接调用原生版本,
如果没有原生支持的话,会调用一个略微不那么强大的非原生版本来处理。

 

转载于:https://www.cnblogs.com/love0o/p/4316037.html

weixin_30914981
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavascriptEval函数使用
05-26
由于JSON字符串不能直接在JavaScript环境中操作,所以通常会使用`eval()`来转换它: ```javascript let jsonString = '{"name": "John", "age": 30}'; let jsonObject = eval('(' + jsonString + ')'); console.log...
JavascriptEval函数使用
12-10
函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。 举个小例子: 代码如下: var the_unevaled_answer = “2 + 3”; var the_evaled_answer = eval(“2 + 3”); alert(“the un-...
为什么不应该在JavaScript使用eval()的原因
08-13 360
The eval() function has been around for a long time in JavaScript! You likely don’t see it often anymore because it’s widely agreed that it’s harmful to use. Let’s take a brief look at it, and some of...
JavaScript中到底推不推荐使用 eval
程宇寒
05-24 470
JavaScript中到底推不推荐使用 eval?这里有一篇知乎上的讨论帖,大家众说纷纭,莫衷一是!
关于javascript中避免使用eval的理解
weixin_42476786的博客
10-08 1146
这两天在翻阅《JavaScript模式》的时候,看到一个标题,“避免使用eval()”,这不禁让我想探索一下,为什么要避免使用eval。 首先我们来先看一下eval()的定义: 执行一段字符串中的JavaScript代码。 摘要: eval(code) 参数: code 包含待求知的JavaScript表达式或待执行的JavaScript语句的字符串。 返回: 求值后的代码的值,如果存在对应的值...
javaScript 避免使用eval
weixin_30709809的博客
07-18 334
如果你现在的代码中使用eval(),记住该咒语"eval()是魔鬼".此方法接受任意的字符串,并当作javaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),如果代码是运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。 例如,用方括号表示法来访问动态属性会更好更简单: var property="name";  alert(eval("obj."+p...
javascript 编程规范
weixin_34292287的博客
04-02 96
为公司起草的javascript编程规范,参考了网上的许多资料,尤其是google的规范。现在放出来,希望能抛砖引玉,大家多提宝贵意见。 本规范是针对javascript函数式编程风格与公司严重依赖于jQuery进行编码的现实制定出来。 禁止使用eval,with与caller(ecma262 v5 的use strict要求)。eval只允许在加密时机器生成。 声明变量必须加上 var 关...
JavascriptEval函数使用说明
12-09
举个小例子: 代码如下:var the_unevaled_... 如果你运行这段eval程序, 你将会看到在JavaScript里字符串”2 + 3″实际上被执行了。 所以当你把the_evaled_answer的值设成 eval(“2 + 3”)时, JavaScript
javascripteval函数用法分析
01-21
本文实例分析了javascripteval函数用法。分享给大家供大家参考。具体分析如下: eval()只有一个参数,如果传入的参数不是字符串,则直接返回这个参数。否则会将字符串当成js代码进行编译,如果编译失败则...
微信小程序开发之不能使用eval函数的问题
03-29
JavaScript中的eval函数是颇受开发者争议的问题之一,问题主要在于其可能导致的不安全性。有关此方面问题,在此不再赘述,读者可能很容易地浏览到许多介绍性文章。  但是,eval函数的优点也是很明显的。例如,使用...
js代码规范
Ethan_LG的专栏
07-09 664
copy一份我司的js代码规范,简单实用。
[Effective JavaScript 笔记]第16条:避免使用eval创建局部变量
weixin_30662011的博客
05-24 112
js中的eval函数是一个强大、灵活的工具。强大的工具容易被滥用,所以了解是值得的。(本人只用过它来处理json数据)。错误使用eval函数的方式一:允许它干扰作用域。调用eval函数会将其参数作为js程序进行解释。该程序运行于调用者的局部作用域中,嵌入到程序的全局变量会被创建为调用程序的局部变量。此var声明语句与将其直接放置在函数体中的行为是不同的。直接放入的变量声明,会有变量声明的提升。通过...
js eval() 安全
bkhech的专栏
02-27 4051
eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。JavaScript中的eval()不安全,可能会被利用做XSS攻击(跨站脚本攻击(Cross Site Scripting)),eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 eva
eval —— javascript 永久的忌讳
dwc2011的专栏
04-18 3918
js 的学习过程中,经常会看到 不推荐使用 eval,甚至将 eval 比为 evil(恶魔)。本人也是觉得,如果没有十足的必要,就不要用 evaleval 的作用是能够将一段 js 字符串变成可执行的 js 代码,与此有类似功能的还有:Function、setInterval、setTimeout。不建议使用 eval 的理由有以下几点: 1. eval 不容易调试:
【6】基础知识类---eval函数及其安全性问题
shlleylu的博客
10-30 1348
eval()函数及其安全性问题 1.主要用途 a. 类型转换:字符串转为列表、字典、元组 b. 做计算器使用 # 举例1:类型转换:字符串转为列表、字典、元组 mylist = '[1,2,3,4,[5,6,7,8,9]]' mydict = "{'a':123,'b':456,'c':789}" mytuple = '([1,3,5],[5,6,7,8,9],[123,456,789])'...
eval的用法,以及不用eval而用parseJSON()
sdzhangshulong的博客
03-07 481
Javascript编码规范
shut1k的博客
11-15 430
Javascript编码规范原文写于 2014-10-10 https://github.com/kuitos/kuitos.github.io/issues/10PPT命名规范 所有变量声明必须加var关键字,函数声明使用function关键字,所有声明必须放到作用域的顶端,严格控制作用域;多个变量命名以逗号分隔,每个占一行 。如 var a=0,b=0 使用驼峰式命名变量和函数,如:func
JS里创建JSON数据然后遍历使用
FantasyWeirdo的博客
01-11 1236
直接在JS里创建JSON数据,然后遍历使用~ 创建代码如下:(创建的是JSON对象) var YearSelect = {}; var Year = 2014; var DateOption; for (var i = Year; i < Year + 12; i++) { DateOption = {'Year':i, 'Month':i-Year+1}; / alert(D...
关于JS中的eval()函数问题
Mr_Yan的博客
05-27 3693
今天练习ajax时,用到了eval()函数【ajax返回的文本字符串】,但相关知识点已记不太清楚了,于是就去查找相关资料,做了以下整理。 1:eval()是什么? eval()方法就像是一个完整的ECMAScript解析器,即要执行的ECMAScript(或JavaScript)的自符串的解析器。 Eg: eval("alert(11)") //等价于 alert(11); 2:ev
javascripteval函数在IE11和chrome中不起作用,这么修改
最新发布
06-01
eval函数在IE11和Chrome中不起作用的原因可能是由于安全策略问题。为了解决这个问题,你可以尝试以下几种方法: 1. 使用Function构造函数代替eval函数。例如: ``` var func = new Function('return ' + code); func(); ``` 2. 将代码封装在一个IIFE(立即调用函数表达式)中,例如: ``` (function(){ // your code here })(); ``` 3. 如果你必须使用eval函数,可以尝试设置安全策略,或者使用沙盒技术来限制代码的访问和影响。这种方法需要更多的工作和技术知识,可以参考相关的文章和教程。 无论你选择哪种方法,都要注意安全和性能问题,避免出现潜在的安全漏洞和性能问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值