JS中eval()解析和为什么不要使用eval

Posted 小东Blog

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JS中eval()解析和为什么不要使用eval相关的知识,希望对你有一定的参考价值。

  在看别的大牛的博客时,总会提示不要使用eval,一直没有深入研究为什么,总以为是安全性问题,也没有去研究eval的其他的注意事项,

最近在看“javascript秘密花园”博客时,碰到这个问题,参考并做了一些总结。

  首先,eval函数的作用是在当前作用域中执行一段JavaScript代码字符串,如下代码段1:

//代码段1
var
foo = 1; function test() { var foo = 2; eval(‘foo = 3‘); return foo; } test(); // 3 foo; // 1

但是 eval 只在被直接调用并且调用函数就是 eval 本身时,才在当前作用域中执行,如何理解这句话呢,以上的代码就是对红色背景部分的描述,

以下代码段2就不属于对于eval的直接调用了,代码段2如下:

//代码段2
var foo = 1;
function test() {
    var foo = 2;
    var bar = eval;
    bar(‘foo = 3‘);
    return foo;
}
test(); // 2
foo; // 3

上面的代码等价于在全局作用域中调用 eval,和下面两种写法(代码段3)效果一样:

//代码段3
// 写法一:直接调用全局作用域下的 foo 变量
var foo = 1;
function test() {
    var foo = 2;
    window.foo = 3;
    return foo;
}
test(); // 2
foo; // 3
 
// 写法二:使用 call 函数修改 eval 执行的上下文为全局作用域
var foo = 1;
function test() {
    var foo = 2;
    eval.call(window, ‘foo = 3‘);
    return foo;
}
test(); // 2
foo; // 3

任何情况下我们都应该避免使用 eval 函数。99.9% 使用 eval 的场景都有不使用 eval 的解决方案。

伪装的 eval

定时函数 setTimeout 和 setInterval 都可以接受字符串作为它们的第一个参数。 这个字符串总是在全局作用域中执行,因此 eval 在这种情况下没有被直接调用。

安全问题

eval 也存在安全问题,因为它会执行任意传给它的代码, 在代码字符串未知或者是来自一个不信任的源时,绝对不要使用 eval 函数。

结论

绝对不要使用 eval,任何使用它的代码都会在它的工作方式,性能和安全性方面受到质疑。 如果一些情况必须使用到 eval 才能正常工作,首先它的设计会受到质疑,这不应该是首选的解决方案, 一个更好的不使用 eval 的解决方案应该得到充分考虑并优先采用。

 

以上是关于JS中eval()解析和为什么不要使用eval的主要内容,如果未能解决你的问题,请参考以下文章

JS高级——eval

js中解析json时候的eval和$.parseJSON()的区别以及JSON.stringify()

JS中如何将JSON的字符串解析成JSON数据格式

js数组使用JSON.stringify和toString的区别

eval()函数的特点和作用

用Js的eval解析JSON中的注意点