eval与函数构造器的区别
5
- Shnick
3
如文档所述,这是关于作用域的问题。 - Lawrence Cherone
@LawrenceCherone 你好 Lawrence,我知道这一点。但是拥有访问_scope_实际上意味着什么?谢谢。 - Shnick
1https://jsbin.com/zimerutowe/edit?js,console,output - Lawrence Cherone
2个回答
6
来自MDN页面的内容:
然而,与eval不同的是,Function构造函数创建的函数仅在全局作用域中执行。
如果您将所有代码封装在闭包中,则评估函数体无法访问保密对象。
(() => {
let secret = 42;
eval("console.log(secret)"); // 42
let fn = new Function("console.log(secret)");
fn(); // secret is not defined
})();- Indiana Kernick
1
使用eval来解析输入的示例暴露并危害了您应用程序的所有私有作用域。
使用
app = (function(){
// my app with all its shiny little secrets
// stored in private variables
var secret = 42;
var apiUrl = "/api/";
return {
withEval(input){
var someObject = eval(input);
console.log("withEval", someObject);
if(apiUrl === "/api/"){
console.log("xhr to", apiUrl);
}else{
console.warn("xhr to", apiUrl);
}
},
withFunction(input){
var someObject = Function("return(" + input+")")();
console.log("withFunction", someObject);
if(apiUrl === "/api/"){
console.log("xhr to", apiUrl);
}else{
console.warn("xhr to", apiUrl);
}
},
}
})();
var malware = `(${
()=>{
try { console.warn("found secret", secret); } catch(err){ console.error(err); }
try { console.warn("found apiUrl", apiUrl); } catch(err){ console.error(err); }
apiUrl = "http://attacker.example.com/";
}})(),{ foo: 13, bar: 42 }`;
console.log(malware);
app.withFunction(malware);
console.log("-----------------");
app.withEval(malware);eval会暴露您的“秘密”,例如id、令牌等,甚至“apiUrl”已更改,因此所有api调用现在都要经过某个攻击者的网页进行往返传输。而且您的代码甚至不会抛出错误;我已在控制台中记录了这些错误。- Thomas
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 5 使用apply与函数构造器
- 5 JavaScript 中,void、eval 和 Function 构造函数有何区别?
- 3 Pymongo .eval()与Mongo shell --eval的区别
- 51 JavaScript:RegExp 构造函数与 RegEx 文字的区别
- 102 JSON.parse与eval()的区别
- 4 想要避免使用eval和函数构造器
- 10 Node.JS vm.runInNewContext()与require()和eval()的区别
- 5 构造函数与闭包之间的区别?
- 5 eval(string) 和 eval(function) 的区别
- 4 Python中eval("input()")与eval(input())的区别