为什么使用JavaScript的eval函数是一个坏主意?

eval函数是一种强大而简单的动态生成代码的方法，那么有什么注意事项呢?

当前回答

主要是，维护和调试要困难得多。就像goto一样。您可以使用它，但它会使发现问题变得更加困难，对稍后可能需要进行更改的人来说也更加困难。

2008-09-17 19:12:33

其他回答

将用户输入传递给eval()存在安全风险，而且每次调用eval()都会创建一个JavaScript解释器的新实例。这可能会占用资源。

2008-09-17 19:28:20

和其他答案一样，我不认为eval语句可以有高级最小化。

2012-01-03 03:52:47

如果你知道你在什么环境中使用它，它并不一定那么糟糕。

如果您的应用程序使用eval()从XMLHttpRequest返回到您自己的站点的某个JSON中创建一个对象，该对象是由受信任的服务器端代码创建的，那么这可能不是问题。

不可信的客户端JavaScript代码无论如何也做不了那么多。只要你执行eval()的对象来自一个合理的源，就没问题。

2008-09-17 20:10:08

除非您100%确定正在评估的代码来自可信的来源(通常是您自己的应用程序)，否则这将使您的系统暴露于跨站点脚本攻击。

2008-09-17 19:13:53

这是一篇谈论eval的好文章，以及它如何不是一种邪恶: http://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/

I’m not saying you should go run out and start using eval() everywhere. In fact, there are very few good use cases for running eval() at all. There are definitely concerns with code clarity, debugability, and certainly performance that should not be overlooked. But you shouldn’t be afraid to use it when you have a case where eval() makes sense. Try not using it first, but don’t let anyone scare you into thinking your code is more fragile or less secure when eval() is used appropriately.

2014-10-08 09:04:57

为什么使用JavaScript的eval函数是一个坏主意?

推荐文章

最新文章

标签