应避免使用 eval() 执行动态代码,因其易引发代码注入;可改用 Function 构造函数或安全方案如 JSON 配置、模板引擎、Web Workers 沙箱等,在可信环境下才考虑动态执行。
在JavaScript中,直接执行动态代码字符串存在严重的安全风险,尤其是当代码来源不可信时。虽然有几种方式可以实现动态执行,但必须谨慎使用,优先选择更安全的替代方案。
避免使用 eval()
eval() 是最危险的方法,它会将传入的字符串作为 JavaScript 代码立即执行,可能导致代码注入攻击。例如:
不推荐:
eval("console.log('Hello')");
立即学习“Java免费学习笔记(深入)”;
如果字符串来自用户输入或网络请求,攻击者可能注入恶意代码,如删除数据、窃取 Cookie 等。
使用 Function 构造函数(相对更安全)
Function 构造函数可以在全局作用域中创建一个新函数,不会污染当前作用域,且无法访问局部变量,因此比 eval() 稍安全。
示例:
const result = new Function('a', 'b', 'return a + b;')(2, 3); // 返回 5
它的局限性在于只能访问全局变量和传入的参数,不能读取调用处的局部变量,这在一定程度上限制了潜在危害。
考虑安全替代方案
大多数情况下,执行动态代码的需求可以通过更安全的方式实现:
- JSON 配置 + 映射逻辑:用 JSON 描述行为,配合预定义函数映射。例如,用 { action: "add", x: 1, y: 2 } 触发已知的安全函数。
- 模板引擎:如需要动态生成内容,使用专门的模板库(如 Handlebars),它们会对输入进行转义和沙箱处理。
- Web Workers 沙箱:在独立线程中执行不受信任的代码,通过 postMessage 通信,隔离主页面。
- AST 解析与白名单校验:对代码字符串进行语法解析(如使用 esprima),只允许特定语法结构执行,复杂但安全性高。
仅在可信环境下执行动态代码
如果你完全控制代码来源(如内部配置、构建工具),并且运行环境是受控的(如 Node.js 后端、CI 脚本),才可以考虑使用 new Function() 或 eval()。
即便如此,也应记录日志、限制权限,并定期审计代码。
基本上就这些。能不用动态执行,就尽量不用;必须用时,选 Function 而非 eval,并配合其他防护措施。安全永远比便利更重要。
