美文网首页
JS中eval()解析和为什么不要使用eval

JS中eval()解析和为什么不要使用eval

作者: jasonhsu9 | 来源:发表于2018-12-01 23:09 被阅读0次

eval翻译:是evaluate,评估,评价的意思。
eval的重点在于eval函数名赋值给变量之后,它的作用域可能发生的变化。参考代码段3

w3school中eval的定义:eval(string) 函数可计算所传字符串string,并执行其中的的 JavaScript 代码,代码是可执行语句或者字符串都会被执行。

eval('window.console.log("LBJ")');//LBJ
eval(window.console.log("LBJ"));//LBJ
window.console.log("LBJ");//LBJ
//三条语句输出的结果是一样的

下面参考其他博客的总结:


在看别的大牛的博客时,总会提示不要使用eval,一直没有深入研究为什么,总以为是安全性问题,也没有去研究eval的其他的注意事项,最近在看“JavaScript秘密花园”博客时,碰到这个问题,参考并做了一些总结。

首先,eval函数的作用是在当前作用域中执行一段JavaScript代码字符串
如下代码段1:

//代码段1
var foo = 1;
function test() {
    var foo = 2;
    eval('foo = 3');
    return foo;
}

test(); // 3
foo; // 1

函数test里面调用eval执行foo=3,修改了test()函数的变量foo,并不会改变全局foo的值。

但是 eval 只在被直接调用并且调用函数就是 eval 本身时,才在当前作用域中执行,如何理解这句话呢?

以下代码段2就不属于对于eval的直接调用了
代码段2如下:

//代码段2
var foo = 1;
function test() {
    var foo = 2;
    var bar = eval; //这里将bar变量指向了eval函数的引用
    bar('foo = 3');
    return foo;
}
test(); // 2
foo; // 3

上面的代码等价于在全局作用域中调用 eval,和下面两种写法(代码段3)效果一样:
代码段3:

//代码段3
// 写法一:直接调用全局作用域下的 foo 变量
var foo = 1;
function test() {
    var foo = 2;
    window.foo = 3;
    return foo;
}
test(); // 2
foo; // 3
 
// 写法二:使用 call 函数修改 eval 执行的上下文为全局window作用域
var foo = 1;
function test() {
    var foo = 2;
    eval.call(window, 'foo = 3');
    return foo;
}
test(); // 2
foo; // 3

在任何情况下我们都应该避免使用 eval 函数。99.9% 使用 eval 的场景都有不使用 eval 的解决方案。

安全问题

eval 也存在安全问题,因为它会执行任意传给它的代码, 在代码字符串未知或者是来自一个不信任的源时,绝对不要使用 eval 函数。

结论

绝对不要使用 eval,任何使用它的代码都会在它的工作方式,性能和安全性方面受到质疑。 如果一些情况必须使用到 eval 才能正常工作,首先它的设计会受到质疑,这不应该是首选的解决方案, 一个更好的不使用 eval 的解决方案应该得到充分考虑并优先采用。

参考博客:JavaScript 为什么不要使用 eval

相关文章

  • JS中eval()解析和为什么不要使用eval

    eval翻译:是evaluate,评估,评价的意思。eval的重点在于eval函数名赋值给变量之后,它的作用域可能...

  • JavaScript基础整理(三)

    eval它的功能是把对应的字符串解析成JS代码并运行;应该避免使用eval,不安全,非常耗性能(2次,一次解析成j...

  • eval和new Function

    eval和new Function都可以动态解析和执行字符串。但是它们对解析内容的运行环境判定不同。 eval中的...

  • eval和new Function的区别

    eval和new Function都可以动态解析和执行字符串。但是它们对解析内容的运行环境判定不同。 eval中的...

  • ajax解析json

    1:eval() eval()方法解析的时候不会判断字符串是否合法 js方法也会被执行:例如: var jsonO...

  • eval() 函数

    语法: 作用:会把eval函数中的参数当成js代码来执行。 一般在js中解析响应的json数据的时候都是使用JSO...

  • 面经之js

    1.eval是做什么的?为什么尽量避免使用eval? Javascript全局对象,eval()函数可以计算机某个...

  • eval介绍

    eval 的定义和用法 如果参数是表达式,eval()函数会执行表达式;如果参数是 js 语句,eval()函数会...

  • ie8兼容模式下JSON.parse无法识别

    解决方案1: eval方式解析。 function strToJson(str){var json = eval(...

  • eval()的作用

    eval()的作用 把字符串参数解析成JS代码并运行,并返回执行的结果 eval()的其他作用 把JSON字符串转...

网友评论

      本文标题:JS中eval()解析和为什么不要使用eval

      本文链接:https://www.haomeiwen.com/subject/ppqdcqtx.html