摘要:因為道格拉斯的大多數作品并沒有注明日期,所以,我不確定他是否是在年創造了這個術語。但這并不能說明是魔鬼,這只是開發工作流程中的一點問題。中間人攻擊被認為是的永遠存在的危險,會受到蠕蟲的的攻擊。
原文來自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Zakas
在JavaScript中,我不確定是否有比eval()受到更多誹謗的。它就是個簡單的函數被設計用來將字符串轉換為可被執行的JavaScript代碼。在我的早期的職業生涯里,它比任何其他的東西更受關注和誤解。
大多數人認為‘eval()是魔鬼’這句話是Douglas Crockford說的。他說:“eval函數(及其親屬,Function,setTimeout,和setInterval)提供對JavaScript編譯器的訪問。這有時是必要的,但大多數情況,它證明這個存在是極其糟糕的代碼。因為eval()這個特性常常被誤用”。
因為道格拉斯的大多數作品并沒有注明日期,所以,我不確定他是否是在2002年創造了這個術語。不管怎么說吧,不管是否真正理解了eval()的使用,他都成為了一個熱門的短語。
盡管這種理論流行開來了(道格拉斯的堅持),但這并不意味著eval()的存在就有問題。使用eval()不會自動觸發XSS攻擊,或者你沒有意識到的但存在的安全漏洞。就像工具一樣,你要知道如何使用它,但即使你使用不正確,但潛在風險依然很低,并且是可容忍的。
誤用(濫用)eval()之所以成為了魔鬼,是因為那些對JavaScript語言理解不夠深的人誤用的原因。你可能會奇怪,誤用跟安全和性能好型沒有關系吧。誤用是不理解如何在JavaScript中構造和使用引用。假設你有幾個表單input的名字包含數字,如:option1,option2,常見的代碼實現如下:
function isChecked(optionNumber) { return eval("forms[0].option" + optionNumber + ".checked"); } var result = isChecked(1);
在這種情況下,開發人員在盡力嘗試寫forms[0].option1.checked,而沒有想我不用eval()該如何做。這樣的情況出現在很多10年左右工作經驗的開發者,它們不明白如何更好地使用。這里也不是說eval()在這里不合適,而是因為沒有必要,你完全可以更簡單的實現,用如下的代碼:
function isChecked(optionNumber) { return forms[0]["option" + optionNumber].checked; } var result = isChecked(1);
在很多情況下,你可以使用[]表示法來替換eval()的使用去構造屬性名,這也是 [] 存在的一個原因。包括道格拉斯在內的早期博主們都是在討論這個問題。
可調式性不使用eval()的一個重要理由是為了達到調試的目的。以前,如果出現問題,不可能進入eval()代碼。這就意味著你的代碼運行在一個黑盒中,然后從中取出。現在Chrome開發工具可以調試eval()內的代碼,但是有一個問題是,你必須等代碼執行一次后才出現在源面板中。
不使用eval()可以令我們的代碼調試起來更容易,跟方便的查看源代碼。但這并不能說明eval()是魔鬼,這只是開發工作流程中的一點問題。
性能對eval()的另一個重要影響是它的性能。在舊的瀏覽器中,你遇到了雙重解釋懲罰,也就是說,你的代碼被解釋,而eval()中的代碼被解釋。在沒有編譯JavaScript引擎的瀏覽器中,結果可能會慢十倍(甚至更糟)。
在現代編譯JavaScript的引擎中,eval()仍然是一個問題。大多數引擎可以用兩種方式運行代碼:快速路徑或慢路徑。快速路徑代碼是一種穩定且可預測的代碼,因此可以為更快的執行而編譯。緩慢的路徑代碼是不可預測的,這使得編譯很難,并且可能仍然使用一個解釋程序運行。在你的代碼中僅僅存在eval()意味著它是不可預測的,因此將在解釋器中運行它以“舊瀏覽器”的速度運行,而不是“新瀏覽器”的速度(10倍的差異)。
同樣的,eval()使YUI壓縮器不可能在調用eval()的范圍內munge變量名。由于eval()可以直接訪問任何這些變量,重命名它們會引入錯誤(其他工具如閉包編譯器和UglifyJS可能仍然會蒙混這些變量——最終導致錯誤)。
因此,在使用eval()時,性能仍然是一個大問題。但這很難讓它成為邪惡,但這是一個需要注意的警告。
安全在說到eval()的安全時,這是大部分人認為eval是魔鬼的有力佐證。大多數情況下,就是說XSS攻擊,以及eval()如何向它們打開代碼。在表面上,這種混淆是可以理解的,因為eval()在頁面上下文中可執行任意代碼。如果你接受用戶輸入并通過eval()運行它,這將是危險的。但是,如果你的輸入不是來自用戶,是否存在真正的危險?
我收到了不止一個的抱怨,在我的CSS解析器中使用eval()的一段代碼中使用的代碼使用eval()將字符串標記從CSS轉換為JavaScript字符串值。除了創建自己的字符串解析器外,這是獲得token的正確字符串值的最簡單方法。到目前為止,還沒有人能夠或愿意提出一種攻擊方案,在這種情況下,這段代碼會引起麻煩,因為:
eval()的值來自于tokenizer
tokenizer已經驗證了它是一個有效的字符串
代碼最常在命令行上運行。
即使在瀏覽器中運行,該代碼也被封閉在閉包中,不能直接調用。
當然,由于這段代碼的主要目標是命令行,所以這個故事有點不同。
設計用于瀏覽器的代碼面臨不同的問題,但是eval()的安全性通常不是其中之一。同樣,如果你以某種方式接收用戶輸入并將其傳遞給eval(),那么你就是在自找麻煩,不要這樣做。但是,如果你使用eval()的輸入,只有你控制并且不能被用戶修改,那么就沒有安全風險。
最常見的攻擊是來自服務器的eval()代碼。這一模式以引入JSON而著名,它之所以流行,是因為它可以通過eval()快速轉換成JavaScript。實際上,Douglas Crockford自己在他的原始JSON實用程序中使用eval(),因為它可以轉換速度。他確實添加了檢查以確保沒有真正的可執行代碼,但是實現從根本上是eval()。
現在,大多數人都使用瀏覽器內置的JSON解析功能來實現這一目的,盡管有些人仍然通過eval()來獲取任意的JavaScript,作為延遲加載策略的一部分。一些人認為,這才是真正的安全漏洞。如果正在進行中間人攻擊,那么你將在頁面上執行任意攻擊代碼。
中間人攻擊被認為是eval()的永遠存在的危險,會受到蠕蟲的的攻擊。但是,這是一個與我無關的場景,因為任何時候你不能相信你正在聯系的服務器,就意味著有可能出現很多不好的事情。中間人攻擊可以通過多種方式向頁面注入代碼:
返回通過 加載的JavaScript代碼。
通過返回攻擊者控制的JSON-P請求代碼。
通過從一個Ajax請求返回attacker控制的代碼,然后eval()。
此外,這樣的攻擊可以很容易地竊取cookie和用戶數據,而不會改變任何東西,更不用說通過返回攻擊者控制的HTML和CSS來進行網絡釣魚的可能性了。
簡單地說,eval()不會像加載外部JavaScript那樣打開中間人攻擊。如果你不能信任服務器上的代碼,那么你將遇到比eval()調用更大的問題。
結論我不是說你應該跑出去,開始使用eval()。實際上,很少有好的用例來運行eval()。對于代碼清晰性、調試性,以及不應該忽略的性能,確實存在一些問題。但是在eval()有意義的情況下,你不應該害怕使用它。不要第一次使用它,但是不要讓任何人嚇到你,認為你的代碼在使用eval()時更加脆弱或不安全。
文章稍后可能還會繼續修改,也歡迎各位批評指正。有問題或者有其他想法的可以在我的GitHub上pr。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/107236.html
摘要:要牢記使用這些構造函數來傳遞參數,在大部分情況下,會導致類似的隱患,因此應該也盡量避免使用這些函數。下面一個栗子使用構造函數和是比較類似的,因此該函數的使用也需要十分小心。 本文章記錄本人在學習 JavaScript 中看書理解到的一些東西,加深記憶和并且整理記錄下來,方便之后的復習。 小白使用 eval() 如果在代碼中使用了eval(),請記住一句話:eval()是一個...
摘要:不單單是因為引起的。用與要注意的地方這里要注意的是這二個函數的第一個參數都會把指向還有第一個參數可以為但不要這樣用因為這樣等于自己隱式使用了。 自動分號插入 Js不像其他語言強制要求;號結尾不然編譯不過,原因是JS有自動;號的插入。 var text=function(){} text() 這樣你不加;號也能運行其實在內部js是需要;號去幫助解析的 var text=function(...
摘要:本文的主題,初衷就是探討人機結合對于機器翻譯發展的重要性。所以絕大部分的機器翻譯訓練,無論是統計機器翻譯還是人工神經網絡,都以和人工譯文語料庫的最大似然度為訓練目標。其下界低于機器翻譯的水準,是最正常不過的事情了。 來自 GitChat 作者:魏勇鵬更多IT技術分享,盡在微信公眾號:GitChat技術雜談 眼球不夠,八卦來湊 以一個八卦作為開頭吧。 本文開始要寫作的時候,翻譯圈里出了一...
閱讀 600·2021-10-08 10:20
閱讀 1490·2021-09-23 11:22
閱讀 3214·2019-08-30 15:55
閱讀 1581·2019-08-28 18:25
閱讀 1857·2019-08-28 18:14
閱讀 1230·2019-08-26 11:37
閱讀 2893·2019-08-26 10:18
閱讀 2419·2019-08-23 18:39