*eval简介
---eval在ECMA定义中是全局对象原型的方法;
---eval接受的参数是字符串格式的js代码, 将由执行引擎(记得'高级程序设计'还是哪说过, 此时新建一个执行引擎)执行这段字符串, 然后返回结果到eval调用的位置.
下面通过示例, 说明如下问题
1)eval执行的程序, 是在哪个作用域下执行(或者说外层闭包是哪个)
2)正确使用eval的注意事项;
注, 我的测试环境是Node, 测试结果并非在所有的js引擎中产生一致效果, 而这也是我想表达的要点之一: 在使用不同的引擎时, 需要考虑这些差异带来的影响.
*eval作用域问题
---源码
eval作用域示例
console.log("Eval Closure");
var i = 100;
function myFunc(ctx) {
var i = "test";
var el = eval('i = 10');
console.log("eval result: " + el); // 10
console.log("i: " + i); // 10
}
myFunc();
console.log(i); //100
---结论
可见在Node中(V8), eval在哪个函数中执行, 则eval代码的父闭包就是eval所在的函数.
*eval执行的常见错误
---源码
eval使用示例
console.log("Eval Usage");
var str1_err = "function () {console.log('run fun1')};";
try{
eval(str1_err);
}catch(e){
console.log(" Error! eval(str1_err)");
console.log(e.toString());
}
var str1 = "function fun1() {console.log('run fun1')}; fun1();";
eval(str1);
var str2_err = "{name: 'dzh'}";
var result;
try{
result = eval(str2_err);
console.log(result.toString());
console.log("name: " + result.name);
}catch(e){
console.log(" Error! eval(str2_err)");
console.log(e.toString());
}
str2 = "({name: 'dzh'})";
result = eval(str2);
console.log(result.toString());
console.log("name: " + result.name);
---结果
测试结果
Eval Usage Error! eval(str1_err) SyntaxError: Unexpected token ( run fun1 dzh name: undefined [object Object] name: dzh
---分析原因
1)str1_err说明了定义匿名函数导致的报错; 遇到空的'()', 会报错;
2)str2_err说明了对于'{}',引擎解析时会把括号理解为代码块, 而程序原意是一个对象直接量; 所以常用的方式是在'{}'外围加小括号, 那么eval就先执行求值运算, 它就返回对象.
综述, 使用eval时, 要考虑引擎是如何理解传入的字符串代码.
*总结
---eval是js动态特性之一, 通过它直接执行js程序并返回结果, 常见的使用就是还原json数据为js对象;
---但是由于其能在运行时动态改变上下文对象, 因此带来了注入攻击的风险;
---使用时, 注意eval对字符串的语法认识是如何的, 常见的就是'大括号'问题
---示例完整源码
