有一個(gè) JavaScript 特性經(jīng)常被明確禁止使用——eval()函數(shù)及其變體。這個(gè)看似強(qiáng)大的特性為何會(huì)被微軟、谷歌、Facebook等頂級(jí)公司列入黑名單？

eval()：強(qiáng)大而危險(xiǎn)的雙刃劍

eval()函數(shù)可以將字符串作為JavaScript代碼執(zhí)行，看起來(lái)可以實(shí)現(xiàn)許多動(dòng)態(tài)功能：

const expr = 'var x = 10; x * 2';
eval(expr); // 返回 20

然而，這種動(dòng)態(tài)執(zhí)行代碼的能力帶來(lái)了嚴(yán)重的安全風(fēng)險(xiǎn)和性能問(wèn)題。

安全隱患：注入攻擊的溫床

最嚴(yán)重的問(wèn)題是安全風(fēng)險(xiǎn)。當(dāng)eval()與用戶輸入結(jié)合時(shí)，它成為代碼注入攻擊的完美載體：

攻擊者可以通過(guò)這種方式：

• 竊取敏感數(shù)據(jù)
• 執(zhí)行惡意操作
• 劫持用戶會(huì)話
• 修改頁(yè)面內(nèi)容

性能問(wèn)題：V8引擎的噩夢(mèng)

JavaScript引擎無(wú)法優(yōu)化包含eval()的代碼，因?yàn)椋?/p>

• 阻礙編譯優(yōu)化：使用eval()的函數(shù)無(wú)法被預(yù)編譯
• 禁用內(nèi)聯(lián)緩存：包含eval()的作用域鏈必須保持動(dòng)態(tài)
• 強(qiáng)制變量查找變慢：編譯器無(wú)法確定變量引用，必須進(jìn)行動(dòng)態(tài)解析

Chrome V8團(tuán)隊(duì)的內(nèi)部測(cè)試顯示，含有eval()的代碼執(zhí)行速度可能慢至少10倍。

可維護(hù)性：代碼審計(jì)的盲點(diǎn)

使用eval()的代碼：

• 難以調(diào)試（堆棧跟蹤不清晰）
• 增加代碼復(fù)雜性
• 降低靜態(tài)分析工具的有效性
• 使代碼審計(jì)變得困難

執(zhí)行上下文污染

eval()在當(dāng)前作用域內(nèi)執(zhí)行代碼，可能意外修改或覆蓋變量：

大廠的應(yīng)對(duì)策略

Google的JavaScript風(fēng)格指南明確表示：

“不要使用eval()。它使代碼容易受到注入攻擊，并且使JavaScript引擎難以進(jìn)行優(yōu)化。”

微軟的安全編碼準(zhǔn)則規(guī)定：

“禁止使用eval()和Function構(gòu)造函數(shù)，除非有經(jīng)過(guò)嚴(yán)格審核的特殊需求?！?/p>

大多數(shù)大廠采取的措施包括：

• 嚴(yán)格的ESLint規(guī)則禁用eval
• 代碼審查中將eval使用標(biāo)記為嚴(yán)重問(wèn)題
• 提供安全的替代API
• 安全掃描工具自動(dòng)識(shí)別eval的使用

替代方案

對(duì)于大多數(shù)使用eval()的場(chǎng)景，都存在更好的替代方案：

• 使用JSON.parse替代解析數(shù)據(jù)

• 使用對(duì)象映射替代動(dòng)態(tài)訪問(wèn)

• 使用新的API替代動(dòng)態(tài)計(jì)算

// 不要這樣做
const result = eval('2 * 3 + 4');

// 改用這種方式
const result = new Function('return 2 * 3 + 4')();
// 或更好的方式，使用專門的表達(dá)式解析庫(kù)