关于javascript中避免使用eval的理解

最新推荐文章于 2021-08-18 18:33:10 发布
最新推荐文章于 2021-08-18 18:33:10 发布
阅读量1.1k 收藏
点赞数
分类专栏: JavaScript 文章标签: JavaScript web前端 eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42476786/article/details/102398427
版权

这两天在翻阅《JavaScript模式》的时候,看到一个标题,“避免使用eval()”,这不禁让我想探索一下,为什么要避免使用eval。

首先我们来先看一下eval()的定义:

执行一段字符串中的JavaScript代码。
摘要:
eval(code)
参数:
code
包含待求知的JavaScript表达式或待执行的JavaScript语句的字符串。
返回:
求值后的代码的值,如果存在对应的值的话。
异常:
如果code不是合法的JavaScript代码,则eval()将抛出一个SyntaxError。如果在对code求值的过程中发生了错误,则eavl()将传播这个错误。

也就是说,eavl()是一个用于执行一段JavaScript代码字符串的全局方法。如果code包含一个表达式,则会对表达式求值并返回这个值。
那大概能知道为什么避免使用eval()了。
1.它可以将任意一个字符串当作JavaScript代码来执行。
2.会存在一些安全隐患,因为这样做有可能执行被篡改过的代码(例如来自网络的代码)。

Miyagi.Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
编写可维护的JavaScript(文)
09-21
《编写可维护的JavaScript》向开发人员阐述了如何在团队开发编写具备高可维护性的JavaScript代码,书详细说明了作为团队一分子,应该怎么写JavaScript。本书内容涵盖了编码风格、编程技巧、自动化、测试等几方面,既包括具体风格和原则的介绍,也包括示例和技巧说明,最后还介绍了如何通过自动化的工具和方法来实现一致的编程风格。   《编写可维护的JavaScript》作者Nicholas C. Zakas是顶级的Web技术专家,也是《JavaScript高级程序设计》一书的作者。他曾是Yahoo!的首席前端开发工程师,在完成了从一名“独行侠”到“团队精英”的蜕变后,他站在前端工程师的角度提炼出众多的最佳编程实践,其包括很多业内权威所推崇的最佳法则,而这些宝贵经验正是本书的核心内容。   《编写可维护的JavaScript》适合前端开发工程师、JavaScript程序员和学习JavaScript编程的读者阅读,也适合开发团队负责人、项目负责人阅读。运用本书讲述的技巧和技术,可以使JavaScript团队编程从侠义的个人偏好的阴霾走出来,走向真正的高可维护性、高效能和高水准。 第一部分 编程风格 第1章 基本的格式化 1.1 缩进层级 1.2 语句结尾 1.3 行的长度 1.4 换行 1.5 空行 1.6 命名 1.6.1 变量和函数 1.6.2 常量 1.6.3 构造函数 1.7 直接量 1.7.1 字符串 1.7.2 数字 1.7.3 null 1.7.4 undefined 1.7.5 对象直接量 1.7.6 数组直接量 第2章 注释 2.1 单行注释 2.2 多行注释 2.3 使用注释 2.3.1 难于理解的代码 2.3.2 可能被误认为错误的代码 2.3.3 浏览器特性hack 2.4 文档注释 第3章 语句和表达式 3.1 花括号的对齐方式 3.2 块语句间隔 3.3 switch语句 3.3.1 缩进 3.3.2 case语句的“连续执行” 3.3.3 default 3.4 with语句 3.5 for循环 3.6 for-in循环 第4章 变量、函数和运算符 4.1 变量声明 4.2 函数声明 4.3 函数调用间隔 4.4 立即调用的函数 4.5 严格模式 4.6 相等 4.6.1 eval() 4.6.2 原始包装类型 第二部分 编程实践 第5章 UI层的松耦合 5.1 什么是松耦合 5.2 将JavaScript从CSS抽离 5.3 将CSS从JavaScript抽离 5.4 将JavaScript从HTML抽离 5.5 将HTML从JavaScript抽离 5.5.1 方法1:从服务器加载 5.5.2 方法2:简单客户端模板 5.5.3 方法3:复杂客户端模板 第6章 避免使用全局变量 6.1 全局变量带来的问题 6.1.1 命名冲突 6.1.2 代码的脆弱性 6.1.3 难以测试 6.2 意外的全局变量 避免意外的全局变量 6.3 单全局变量方式 6.3.1 命名空间 6.3.2 模块 6.4 零全局变量 第7章 事件处理 7.1 典型用法 7.2 规则1:隔离应用逻辑 7.3 规则2:不要分发事件对象 第8章 避免“空比较” 8.1 检测原始值 8.2 检测引用值 8.2.1 检测函数 8.2.2 检测数组 8.3 检测属性 第9章 将配置数据从代码分离出来 9.1 什么是配置数据 9.2 抽离配置数据 9.3 保存配置数据 第10章 抛出自定义错误 10.1 错误的本质 10.2 在JavaScript抛出错误 10.3 抛出错误的好处 10.4 何时抛出错误 10.5 try-catch语句 10.6 错误类型 第11章 不是你的对象不要动 11.1 什么是你的 11.2 原则 11.2.1 不覆盖方法 11.2.2 不新增方法 11.2.3 不删除方法 11.3 更好的途径 11.3.1 基于对象的继承 11.3.2 基于类型的继承 11.3.3 门面模式 11.4 关于Polyfill的注解 11.5 阻止修改 第12章 浏览器嗅探 12.1 User-Agent检测 12.2 特性检测 12.3 避免特性推断 12.4 避免浏览器推断 12.5 应当如何取舍 第三部分 自动化 第13章 文件和目录结构 13.1 最佳实践 13.2 基本结构 第14章 Ant 14.1 安装 14.2 配置文件 14.3 执行构建 14.4 目标操作的依赖 14.5 属性 14.6 Buildr项目 第15章 校验 15.1 查找文件 15.2 任务 15.3 增强的目标操作 15.4 其他方面的改进 15.5 Buildr任务 第16章 文件合并和加工 16.1 任务 16.2 行尾结束符 16.3 文件头和文件尾 16.4 加工文件 第17章 文件精简和压缩 17.1 文件精简 17.1.1 使用YUI Compressor精简代码 17.1.2 用Closure Compiler精简 17.1.3 使用UglifyJS精简 17.2 压缩 17.2.1 运行时压缩 17.2.2 构建时压缩 第18章 文档化 18.1 JSDoc Toolkit 18.2 YUI Doc 第19章 自动化测试 19.1 YUI Test Selenium引擎 19.1.1 配置一台Selenium服务器 19.1.2 配置YUI Test Selenium引擎 19.1.3 使用YUI Test Selenium引擎 19.1.4 Ant的配置写法 19.2 Yeti 19.3 PhantomJS 19.3.1 安装及使用 19.3.2 Ant的配置写法 19.4 JsTestDriver 19.4.1 安装及使用 19.4.2 Ant的配置写法 第20章 组装到一起 20.1 被忽略的细节 20.2 编制打包计划 20.2.1 开发版本的构建 20.2.2 集成版本的构建 20.2.3 发布版本的构建 20.3 使用CI系统 20.3.1 Jenkins 20.3.2 其他CI系统 附录A JavaScript编码风格指南 附录B JavaScript工具集
javaScript 避免使用eval
weixin_30709809的博客
07-18 331
如果你现在的代码使用eval(),记住该咒语"eval()是魔鬼".此方法接受任意的字符串,并当作javaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),如果代码是运行时动态生成,有一个更好的方式不使用eval而达到同样的目标。 例如,用方括号表示法来访问动态属性会更好更简单: var property="name";  alert(eval("obj."+p...
避免使用eval(...)和with
qq_44845659的博客
08-18 280
避免使用eval(…)和with eval(…) eval(…)函数可以接受一个字符串作为参数,从而执行字符串参数组成的JavaScript代码。 eval("alert('Hello world!')") 上面代码运行会在浏览器窗口弹出"Hello world!"。 eval(…)函数通常被用来执行动态创建的代码,比如程序逻辑生成或者从服务端获取的动态字符串JavaScript代码,这看上起很酷,但是不到万不得已不要使用它。 eval(…)函数坏处如下: 会对所处的词法作用域作出修改 可能会执行恶意J
为什么在javascript不建议使用eval()函数?
weixin_30914981的博客
03-05 710
eval伪装超时函数setTimeout和setInterval都接受字符串作为第一个参数,该字符串将在全局作用域执行,因为eval不是被直接调用的。 安全问题eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 这个例子,由于响应的文本包含一个匿名函数,这个函数会修改页面的第一个表单的action特性,导致表单在提...
javascript 编程规范
weixin_34292287的博客
04-02 94
为公司起草的javascript编程规范,参考了网上的许多资料,尤其是google的规范。现在放出来,希望能抛砖引玉,大家多提宝贵意见。 本规范是针对javascript函数式编程风格与公司严重依赖于jQuery进行编码的现实制定出来。 禁止使用eval,with与caller(ecma262 v5 的use strict要求)。eval只允许在加密时机器生成。 声明变量必须加上 var 关...
js代码规范
Ethan_LG的专栏
07-09 662
copy一份我司的js代码规范,简单实用。
深入理解JavaScript系列(1) 编写高质量JavaScript代码的基本要点
12-12
具体一点就是编写高质量JavaScript的一些要素,例如避免全局变量,使用单变量声明,在循环预缓存length(长度),遵循代码阅读,以及更多。 此摘要也包括一些与代码不太相关的习惯,但对整体代码的创建息息相关,...
编写高质量JavaScript代码的基本要点
01-19
具体一点就是编写高质量JavaScript的一些要素,例如避免全局变量,使用单变量声明,在循环预缓存length(长度),遵循代码阅读,以及更多。 此摘要也包括一些与代码不太相关的习惯,但对整体代码的创建息息相关,...
编写可维护的javascript(英文)
06-02
《编写可维护的JavaScript》向开发人员阐述了如何在团队开发编写具备高可维护性的JavaScript代码,书详细说明了作为团队一分子,应该怎么写JavaScript。本书内容涵盖了编码风格、编程技巧、自动化、测试等几方面...
Front-End-Interview:前端经典面试题集锦
04-27
安全问题:3.1 XSS(跨站脚本攻击)XSS:跨站脚本攻击它允许用户将恶意代码植入到提供给其他用户使用的页面,可以简单的理解为一种javascript代码注入。XSS的防御措施:过滤转义输入输出避免使用 eval、 n
JavaScript 为什么不推荐使用 eval
di84186的博客
06-06 708
作者:王欣彤链接:http://www.zhihu.com/question/20591877/answer/57705130来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 不推荐使用eval的原因有很多,1、eval 太神秘了,以至于很多人用错。所以不推荐使用。 比如这段代码你应该见过:<img src="https:/...
为什么不应该在JavaScript使用eval()的原因
08-13 352
The eval() function has been around for a long time in JavaScript! You likely don’t see it often anymore because it’s widely agreed that it’s harmful to use. Let’s take a brief look at it, and some of...
禁用 eval 时如何解析字符串的 javascript 代码
352328759的博客
11-30 2123
今天有同事问我:“怎么解析一段字符串的 javascript 代码?” “eval() 呀” “我们的项目禁用 eval …” “曹孟德的名字” 解析一段字符串的 javascript 代码的需求并不常见, 所以提到这个需求第一时间想到的方法毫无悬念就是 eval() 可是基于网络安全的种种原因, 很多项目对这个方法避之若浼 所以禁用 eval 时, 如何解析字符串的 javascript 代码呢? end ...
为什么尽量不要使用eval函数和with关键字
then啥
09-22 1677
编译过程:分词/词法分析;解析/语法分析;代码生成 词法作用域:定义在词法阶段的作用域 相关概念: 作用域:是一套规则,定义了引擎如何在作用域通过标识符名称对变量进行查找 作用域工作模型:词法作用域、动态作用域 词法化:编译器工作的第一阶段,即对代码的字符进行检查。如果是有状态的解析还会赋予单词语义 1.性能问题: ①.js引擎会在编译阶段进行性能优化,其...
JavaScript基础避免使用eval()(006)
weixin_33851429的博客
09-12 137
许多人认为eval()方法是邪恶(evil)的。这个方法可以把任意字符串当成Javascript代码来执行。我们应该尽可能的不用eval()方法。比如,可以使用方括号来得到对象属性的值: // antipattern var property = "name"; alert(eval("obj." + property)); // preferred var property = "...
再探JS---eval函数
weixin_45683463的博客
12-29 1222
eval函数 “魔鬼”函数? 如果你现在的代码使用eval(),记住该咒语“eval()是魔鬼”。此方法接受任意的字符串,并当作JavaScript代码来处理。当有问题的代码是事先知道的(不是运行时确定的),没有理由使用eval()。eval 用的好不好 其实和使用者的水平有关系 作用域 在eval()创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串;它们只在eval()执行的时候创建 为什么不提倡使用eval函数? 可读性非常差 不好再做优化和编译 会轻微增加性能消
浏览器安全策略说之内容安全策略CSP
weixin_33924312的博客
03-08 1669
天融信阿尔法实验室 · 2014/04/17 14:50目录0x00 前言 0x01 CSP概念 0x02 CSP发展时间轴 0x03 CSP语法 0x04 CSP默认特性 0x05 CSP例子 0x06 CSP的错误使用 0x07 CSP分析报告 0x08 ...
Javascript编码规范
shut1k的博客
11-15 424
Javascript编码规范原文写于 2014-10-10 https://github.com/kuitos/kuitos.github.io/issues/10PPT命名规范 所有变量声明必须加var关键字,函数声明使用function关键字,所有声明必须放到作用域的顶端,严格控制作用域;多个变量命名以逗号分隔,每个占一行 。如 var a=0,b=0 使用驼峰式命名变量和函数,如:func
js eval() 安全
bkhech的专栏
02-27 3990
eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。JavaScripteval()不安全,可能会被利用做XSS攻击(跨站脚本攻击(Cross Site Scripting)),eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 eva
java eval_Java版的实现JavaScripteval()函数
最新发布
05-19
Java 没有类似于 JavaScript eval() 函数,但是可以通过使用 Java 的动态编译器来实现类似的功能。下面是一个简单的示例代码: ```java import javax.tools.JavaCompiler; import javax.tools.ToolProvider;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值