已解決430363個問題，去搜搜看，總會有你想問的

關于eval()的安全問題

首頁猿問關于eval()的安全問題

JavaScript

www說 2018-12-06 17:28:32

都說eval()是不安全的，還有new Function()也是不安全的，啥腳本注入來著。但是該如何解決這種不安全的問題呢？我搜索了一下，貌似是啥腳本庫之類的，但是大部分都是在分析他們的使用方法。所以請哪位研究過的大神，分析下該如何解決安全問題，或者說提供個腳本庫參考下，^_^

查看完整描述

3 回答

森欄

TA貢獻1810條經驗獲得超5個贊

只要你不使用eval執行用戶輸入的內容，問題不大。你先了解下XSS攻擊。

反對回復 2018-12-24

搖曳的薔薇

TA貢獻1793條經驗獲得超6個贊

怎么個不安全法.講清楚點

反對回復 2018-12-24

有只小跳蛙

TA貢獻1824條經驗獲得超8個贊

首先感謝你的關注，至于如何不安全，我也沒有見過，但是不管是網上還是哪里，都會有所耳聞，以我個人的理解應該是這樣的。

比如說以下是從php所提供的接口中獲取的數據信息。

var jsonStr = '{"a":1,"b":2,"c":function(){alert(1);}()}';

其中的值都是用戶提供的信息。

為了追加到頁面，顯示為用戶，那么得轉換成json形式。

var json = eval("("+jsonStr+")");　　//或者 var json = new Function("return"+jsonStr)();

結果是頁面會alert(1);

換句話說，如果那個函數中不是alert(1);是打開某個鏈接，或者運行啥程序之類的，當然具體的操作我是不懂了，只是類似的。這樣就感覺會不安全了，頁面可以有用戶操作了。

以上是我的理解。

反對回復 2018-12-24

關注

舉報

0/150

提交

取消