js eval() 安全

最新推荐文章于 2025-06-07 20:54:18 发布

bkhech

最新推荐文章于 2025-06-07 20:54:18 发布

阅读量4.2k

点赞数

CC 4.0 BY-SA版权

分类专栏： JS

本文链接：https://blog.csdn.net/u011897392/article/details/58139194

JS 专栏收录该内容

15 篇文章

订阅专栏

eval函数接收一个参数s，如果s不是字符串，则直接返回s。否则执行s语句。如果s语句执行结果是一个值，则返回此值，否则返回undefined。

JavaScript中的eval()不安全，可能会被利用做XSS攻击（跨站脚本攻击(Cross Site Scripting)），eval也存在一个安全问题，因为它可以执行传给它的任何字符串，所以永远不要传入字符串或者来历不明和不受信任源的参数。

eval会运行编译器，影响性能。

然而实际上，我们常用的，比如 script 标签， settimeout， setinterval，new Function 等间接调用了eval函数。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

bkhech

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

JavaScript中的eval错误和改进方法

PixelNovaO的博客

10-04

679

在编写代码时，应该尽量避免使用eval函数，而是寻找其他更安全和可控的替代方法。如果确实需要使用eval函数，应该进行严格的输入验证和过滤，确保只执行合法和可信任的代码。这种方式可以执行动态生成的代码，但相对于eval函数，它有更好的可控性。JavaScript中的eval函数是一个强大的功能，它可以执行动态生成的代码字符串。eval函数执行的是任意的JavaScript代码，这也是它存在安全风险的原因之一。例如，可以对输入的代码进行严格的验证和过滤，确保只执行合法和可信任的代码。

JavaScript eval()：执行代码字符串

咸鱼滚滚

07-30

516

eval()函数会将传入的字符串当做 JavaScript 代码进行执行。文档请查看。

3 条评论您还未登录，请先登录后发表或查看评论

细说JavaScript中的eval()不安全

weixin_34245749的博客

04-27

2844

细说JavaScript中的eval()不安全，eval()安全问题就在于它能把传入的字符串当做javascript代码执行。有的人可以在eval()里注入字符串，比如你要传入一个数组，有人可以改[1,2,function(){开始修改}]，本来该传预期的数组，但是这里却有匿名函数。通过eval由javascript解析执行后，匿名函数被执行。你该知道后果，比如可以通过它修改...

eval：JavaScript里的双刃剑，用好了封神，用不好封号！

06-07

939

大家好，我是小杨，一个写了6年前端的老司机。今天要聊一个让人又爱又恨的JavaScript特性——eval()。这玩意儿就像编程界的"瑞士军刀"，功能强大但危险系数极高，新手容易滥用，老手又避之不及。到底该不该用？怎么安全地用？今天我就用几个血泪教训带大家彻底搞懂它！

eval会存在安全隐患

yigeng3663的博客

06-03

961

可以使用ast.literal_eval 代替

安全的eval操作

yyw794的专栏

12-13

1372

通过网络request返回的response，如果是列表之类的字符串。很多人会通过eval来将字符串转为列表、字典等。但这是非常危险的！因为，返回的如果是不可信、不受控的信息，例如返回“os.system(‘rm / -rf’)”，那eval就会执行格式化电脑的操作！官方给了解决方案import ast ast.literal_eval("{'muffin' : 'lolz', 'foo'

【6】基础知识类---eval函数及其安全性问题

shlleylu的博客

10-30

1466

eval()函数及其安全性问题 1.主要用途 a. 类型转换：字符串转为列表、字典、元组 b. 做计算器使用 # 举例1:类型转换：字符串转为列表、字典、元组 mylist = '[1,2,3,4,[5,6,7,8,9]]' mydict = "{'a':123,'b':456,'c':789}" mytuple = '([1,3,5],[5,6,7,8,9],[123,456,789])'...

js eval函数使用,js对象和字符串互转实例

10-20

JavaScript中的`eval()`函数是一个非常强大但又颇具争议的工具，它可以将字符串解析为JavaScript代码并执行。在本文中，我们将深入探讨`eval()`的工作原理，以及如何在JavaScript中进行对象与字符串之间的转换。 ...

js中eval详解

12-04

JavaScript中的`eval`函数是一个非常强大但又充满争议的工具，它可以解析并执行一个字符串作为JavaScript代码。在处理动态生成的代码或者从服务器接收到的数据时，`eval`经常被用到。然而，由于安全性和性能上的风险...

JS中eval函数的使用示例

10-27

**安全性**：由于`eval()`可以执行任何JavaScript代码，它可能导致严重的安全问题。如果用户能够控制传递给`eval()`的字符串，他们可能注入恶意代码，从而对应用程序造成破坏。因此，在处理不受信任的数据时，应避免...

对js eval()函数的一些见解

10-21

JavaScript 的 `eval()` 函数是一个强大但又颇具争议的工具，它可以将字符串解析并执行为JavaScript代码。...理解其工作原理以及如何安全地使用 `eval()` 是每个JavaScript开发者需要掌握的重要技能。

eval()函数不安全的原因以及解决方案

weixin_33922670的博客

02-28

2307

第一部分：分享个phpeval后门程序要求必须支持eval函数使用方法http://url/test.php?pwd=admin&action=eval&a=phpinfo();代码：<?php$passwd="admin";if($_GET['pwd']!=$passwd)exit;if($_GET['action']=="eval" &&a...

shell中实用eval命令和安全问题

qq_21305943的专栏

10-12

957

eval命令非常强大，但也非常容易被滥用。它会导致代码被解析两次而不是一次。这意味着，如果你的代码中包含变量引用，shell解析器将评估该变量的内容。如果变量包含一个shell命令，shell可能会运行该命令，无论你是否希望运行它。这可能会导致意外的结果，特别是当变量可以从不受信任的来源（如用户或用户创建的文件）读取时。请注意，eval命令在编程中被广泛认为是危险的。它可以执行任意的Shell代码，包括恶意代码，因此应该谨慎使用。

eval函数

one-way or another

07-31

2571

eval函数解析定义及用法 eval() 函数可计算某个字符串，并执行其中的的 JavaScript 代码。语法 eval(string) 参数 string 必需。要计算的字符串，其中含有要计算的 JavaScript 表达式或要执行的语句。返回值通过计算 string 得到的值（如果有的话）。说明该方法只接受原始字符串作为参数，如果 string 参数不是原始字符串，那么该方法将...

eval 函数非常危险

superkrissV的专栏

12-12

1236

在一个真实的系统中，会有各种各样强大的类，传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。

为什么在javascript不建议使用eval()函数?

weixin_30914981的博客

03-05

788

eval伪装超时函数setTimeout和setInterval都接受字符串作为第一个参数，该字符串将在全局作用域执行，因为eval不是被直接调用的。安全问题eval也存在一个安全问题，因为它可以执行传给它的任何字符串，所以永远不要传入字符串或者来历不明和不受信任源的参数。这个例子中，由于响应的文本包含一个匿名函数，这个函数会修改页面中的第一个表单的action特性，导致表单在提...

Javascript eval()函数的词法欺骗

weixin_30670965的博客

02-15

1 function foo(str, a) { 2 eval(str); 3 console.log(a, b) 4 } 5 var b = 2 6 foo('var b = 3', 1) 上面代码运行结果为： 1,3 eval(..) 函数可以接受一个字符串为参数，并将其中的内容视为好像在书eval(..) 函数可以接受一个字符串为参...

前端面试必考：JS中eval()解析、为什么不要使用eval？

weixin_34138521的博客

03-17

1199

首先，eval函数的作用是在当前作用域中执行一段JavaScript代码字符串，如下代码段1：//代码段1 varfoo=1; functiontest(){ varfoo=2; eval('foo=3'); returnfoo; } test();//3 foo;//1但是 eval 只在被直接调用并且调用函数就是 ev...

JavaScript 之 eval 详解

subsistent的博客

02-16

1968

其实即便带有变量，JavaScript也是可以直接计算的，但是如果你现在只想声明一个带有变量的表达式，但是想稍后进行运算（你有可能在声明这个带有变量的运算式之后还有可能对里面的变量进行修改），就可以使用eval。比如，假如你有一个变量 x ，你可以通过一个字符串表达式来对涉及x的表达式延迟求值，将 “3 * x + 2”，存储为变量，然后在你的脚本后面的一个地方调用eval()。eval()的运行效率也普遍的比其他的替代方案慢，因为他会调用js解析器，即便现代的JS引擎中已经对此做了优化。