关于JS中的eval()函数问题
来源:互联网 发布:mysql count语句 编辑:程序博客网 时间:2024/06/13 04:08
今天练习ajax时,用到了eval()函数【ajax返回的文本字符串】,但相关知识点已记不太清楚了,于是就去查找相关资料,做了以下整理。
1:eval()是什么?
eval()方法就像是一个完整的ECMAScript解析器,即要执行的ECMAScript(或JavaScript)的自符串的解析器。
Eg:
eval("alert(11)") //等价于 alert(11);2:eval()在函数中的字符串解析规则
解析器发现代码中调用 eval() 方法时,它会将传入的参数当作实际的 ECMAScript 语句来解析,然后把执行结果插入到原位置。通过eval() 执行的代码被认为是包含该次 调 用的执行环境的一部分,因此被执行的代码具有与该执行环境相同的作用域链。
Eg:
eval("function sayHi() { alert('hi'); }"); sayHi();3:使用eval()函数的注意事项
在 eval() 中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval() 执行的时候创建。严格模式下,在外部访问不到 eval() 中创建的任何变量或函数,因此前面两个例子都会导致错误。
同样,在严格模式下,为 eval 赋值也会导错误。
4:eval()函数的缺点
4.1. eval 不容易调试:
在 chromeDev 等环境下,在 eval 处是不能打断点的;
4.2. eval 的性能低:
现代浏览器中有两种编译模式:fast path 和 slow path,fast path 是编译那些稳定且可预测的代码,而 eval 明显是不可预测,所以编译的时间会很慢。
4.3. 安全问题:
这也是我觉得最主要的原因,eval 在处理不确定字符串的时候,会引起 XSS(跨站脚本攻击)。而且不光是eval,其他方式也可能引起安全问题。比如:莫名其妙给你 注入一个<script src="">标签,或者一段来历不明的JSON-P请求,再或者就是Ajax请求中的eval代码…所以啊,只要你的信息源不安全,你的代码就不安全。不单单是因为eval 引起的。
综合以上来说,尽量少在函数中使用eval()函数,特别是在不知道一些数据来源时尽量不使用。
如有错误地方,欢迎大家指正交流,共同进步。
阅读全文
0 0
- 关于JS中的eval()函数问题
- Js中的eval函数
- Js中的eval函数
- Js中的eval函数
- Js中的eval()函数
- JS中的eval函数详解
- js中的eval 函数作用
- 浅谈js中的eval()函数
- 简单认识js中的eval函数
- js中的eval()函数(转)
- 如何改写js中的eval函数?
- Js Eval函数资料
- Js Eval函数资料
- Js Eval函数资料
- Js Eval函数资料
- Js Eval函数资料
- js eval()函数
- js的 eval()函数
- 如何将重采样的数据扔给编码器(AVAudioFifo)
- c# winform 中如何修改listbox的某项值,如何删除某项值。
- Kotlin初体验
- leetcode.561 Array Partition I
- Guid
- 关于JS中的eval()函数问题
- 汇编--学习笔记(十四)-高级汇编技术--宏
- Java Filter过滤XSS注入非法参数
- java web 前端页面的分页逻辑
- 登陆的过滤器
- RabbitMQ与Spring整合之消息消费方
- Bugly Android热更新总结篇
- Java操作Mysql数据库辅助类
- 关于json中对象的删除