原文來自:https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者:Nicholas C.Zakas
在JavaScript中,我不確定是否有比eval()受到更多誹謗的。它就是個簡單的函數被設計用來將字符串轉換爲可被執行的JavaScript代碼。在我的早期的職業生涯裏,它比任何其他的東西更受關注和誤解。
大多數人認爲‘eval()是魔鬼’這句話是Douglas Crockford說的。他說:“eval函數(及其親屬,Function,setTimeout,和setInterval)提供對JavaScript編譯器的訪問。這有時是必要的,但大多數情況,它證明這個存在是極其糟糕的代碼。因爲eval()這個特性常常被誤用”。
因爲道格拉斯的大多數作品並沒有註明日期,所以,我不確定他是否是在2002年創造了這個術語。不管怎麼說吧,不管是否真正理解了eval()的使用,他都成爲了一個熱門的短語。
儘管這種理論流行開來了(道格拉斯的堅持),但這並不意味着eval()的存在就有問題。使用eval()不會自動觸發XSS攻擊,或者你沒有意識到的但存在的安全漏洞。就像工具一樣,你要知道如何使用它,但即使你使用不正確,但潛在風險依然很低,並且是可容忍的。
誤用(濫用)
eval()之所以成爲了魔鬼,是因爲那些對JavaScript語言理解不夠深的人誤用的原因。你可能會奇怪,誤用跟安全和性能好型沒有關係吧。誤用是不理解如何在JavaScript中構造和使用引用。假設你有幾個表單input的名字包含數字,如:option1,option2,常見的代碼實現如下:
function isChecked(optionNumber) {
return eval("forms[0].option" + optionNumber + ".checked");
}
var result = isChecked(1);
在這種情況下,開發人員在盡力嘗試寫forms[0].option1.checked,而沒有想我不用eval()該如何做。這樣的情況出現在很多10年左右工作經驗的開發者,它們不明白如何更好地使用。這裏也不是說eval()在這裏不合適,而是因爲沒有必要,你完全可以更簡單的實現,用如下的代碼:
function isChecked(optionNumber) {
return forms[0]["option" + optionNumber].checked;
}
var result = isChecked(1);
在很多情況下,你可以使用[]表示法來替換eval()的使用去構造屬性名,這也是 [] 存在的一個原因。包括道格拉斯在內的早期博主們都是在討論這個問題。
可調式性
不使用eval()的一個重要理由是爲了達到調試的目的。以前,如果出現問題,不可能進入eval()代碼。這就意味着你的代碼運行在一個黑盒中,然後從中取出。現在Chrome開發工具可以調試eval()內的代碼,但是有一個問題是,你必須等代碼執行一次後纔出現在源面板中。
不使用eval()可以令我們的代碼調試起來更容易,跟方便的查看源代碼。但這並不能說明eval()是魔鬼,這只是開發工作流程中的一點問題。
性能
對eval()的另一個重要影響是它的性能。在舊的瀏覽器中,你遇到了雙重解釋懲罰,也就是說,你的代碼被解釋,而eval()中的代碼被解釋。在沒有編譯JavaScript引擎的瀏覽器中,結果可能會慢十倍(甚至更糟)。
在現代編譯JavaScript的引擎中,eval()仍然是一個問題。大多數引擎可以用兩種方式運行代碼:快速路徑或慢路徑。快速路徑代碼是一種穩定且可預測的代碼,因此可以爲更快的執行而編譯。緩慢的路徑代碼是不可預測的,這使得編譯很難,並且可能仍然使用一個解釋程序運行。在你的代碼中僅僅存在eval()意味着它是不可預測的,因此將在解釋器中運行它以“舊瀏覽器”的速度運行,而不是“新瀏覽器”的速度(10倍的差異)。
同樣的,eval()使YUI壓縮器不可能在調用eval()的範圍內munge變量名。由於eval()可以直接訪問任何這些變量,重命名它們會引入錯誤(其他工具如閉包編譯器和UglifyJS可能仍然會矇混這些變量——最終導致錯誤)。
因此,在使用eval()時,性能仍然是一個大問題。但這很難讓它成爲邪惡,但這是一個需要注意的警告。
安全
在說到eval()的安全時,這是大部分人認爲eval是魔鬼的有力佐證。大多數情況下,就是說XSS攻擊,以及eval()如何向它們打開代碼。在表面上,這種混淆是可以理解的,因爲eval()在頁面上下文中可執行任意代碼。如果你接受用戶輸入並通過eval()運行它,這將是危險的。但是,如果你的輸入不是來自用戶,是否存在真正的危險?
我收到了不止一個的抱怨,在我的CSS解析器中使用eval()的一段代碼中使用的代碼使用eval()將字符串標記從CSS轉換爲JavaScript字符串值。除了創建自己的字符串解析器外,這是獲得token的正確字符串值的最簡單方法。到目前爲止,還沒有人能夠或願意提出一種攻擊方案,在這種情況下,這段代碼會引起麻煩,因爲:
- eval()的值來自於tokenizer
- tokenizer已經驗證了它是一個有效的字符串
- 代碼最常在命令行上運行。
- 即使在瀏覽器中運行,該代碼也被封閉在閉包中,不能直接調用。
當然,由於這段代碼的主要目標是命令行,所以這個故事有點不同。
設計用於瀏覽器的代碼面臨不同的問題,但是eval()的安全性通常不是其中之一。同樣,如果你以某種方式接收用戶輸入並將其傳遞給eval(),那麼你就是在自找麻煩,不要這樣做。但是,如果你使用eval()的輸入,只有你控制並且不能被用戶修改,那麼就沒有安全風險。
最常見的攻擊是來自服務器的eval()代碼。這一模式以引入JSON而著名,它之所以流行,是因爲它可以通過eval()快速轉換成JavaScript。實際上,Douglas Crockford自己在他的原始JSON實用程序中使用eval(),因爲它可以轉換速度。他確實添加了檢查以確保沒有真正的可執行代碼,但是實現從根本上是eval()。
現在,大多數人都使用瀏覽器內置的JSON解析功能來實現這一目的,儘管有些人仍然通過eval()來獲取任意的JavaScript,作爲延遲加載策略的一部分。一些人認爲,這纔是真正的安全漏洞。如果正在進行中間人攻擊,那麼你將在頁面上執行任意攻擊代碼。
中間人攻擊被認爲是eval()的永遠存在的危險,會受到蠕蟲的的攻擊。但是,這是一個與我無關的場景,因爲任何時候你不能相信你正在聯繫的服務器,就意味着有可能出現很多不好的事情。中間人攻擊可以通過多種方式向頁面注入代碼:
- 返回通過
<script></script>加載的JavaScript代碼。 - 通過返回攻擊者控制的JSON-P請求代碼。
- 通過從一個Ajax請求返回attacker控制的代碼,然後eval()。
此外,這樣的攻擊可以很容易地竊取cookie和用戶數據,而不會改變任何東西,更不用說通過返回攻擊者控制的HTML和CSS來進行網絡釣魚的可能性了。
簡單地說,eval()不會像加載外部JavaScript那樣打開中間人攻擊。如果你不能信任服務器上的代碼,那麼你將遇到比eval()調用更大的問題。
結論
我不是說你應該跑出去,開始使用eval()。實際上,很少有好的用例來運行eval()。對於代碼清晰性、調試性,以及不應該忽略的性能,確實存在一些問題。但是在eval()有意義的情況下,你不應該害怕使用它。不要第一次使用它,但是不要讓任何人嚇到你,認爲你的代碼在使用eval()時更加脆弱或不安全。
文章稍後可能還會繼續修改,也歡迎各位批評指正。有問題或者有其他想法的可以在我的GitHub上pr。