摘要：因為道格拉斯的大多數(shù)作品并沒有注明日期，所以，我不確定他是否是在年創(chuàng)造了這個術(shù)語。但這并不能說明是魔鬼，這只是開發(fā)工作流程中的一點問題。中間人攻擊被認為是的永遠存在的危險，會受到蠕蟲的的攻擊。

原文來自：https://www.nczonline.net/blog/2013/06/25/eval-isnt-evil-just-misunderstood/ 作者：Nicholas C.Zakas

在JavaScript中，我不確定是否有比eval()受到更多誹謗的。它就是個簡單的函數(shù)被設(shè)計用來將字符串轉(zhuǎn)換為可被執(zhí)行的JavaScript代碼。在我的早期的職業(yè)生涯里，它比任何其他的東西更受關(guān)注和誤解。

大多數(shù)人認為‘eval()是魔鬼’這句話是Douglas Crockford說的。他說：“eval函數(shù)（及其親屬，F(xiàn)unction，setTimeout，和setInterval）提供對JavaScript編譯器的訪問。這有時是必要的，但大多數(shù)情況，它證明這個存在是極其糟糕的代碼。因為eval()這個特性常常被誤用”。

因為道格拉斯的大多數(shù)作品并沒有注明日期，所以，我不確定他是否是在2002年創(chuàng)造了這個術(shù)語。不管怎么說吧，不管是否真正理解了eval()的使用，他都成為了一個熱門的短語。

盡管這種理論流行開來了（道格拉斯的堅持），但這并不意味著eval()的存在就有問題。使用eval()不會自動觸發(fā)XSS攻擊，或者你沒有意識到的但存在的安全漏洞。就像工具一樣，你要知道如何使用它，但即使你使用不正確，但潛在風(fēng)險依然很低，并且是可容忍的。

eval()之所以成為了魔鬼，是因為那些對JavaScript語言理解不夠深的人誤用的原因。你可能會奇怪，誤用跟安全和性能好型沒有關(guān)系吧。誤用是不理解如何在JavaScript中構(gòu)造和使用引用。假設(shè)你有幾個表單input的名字包含數(shù)字，如：option1，option2，常見的代碼實現(xiàn)如下：

function isChecked(optionNumber) {
    return eval("forms[0].option" + optionNumber + ".checked");
}

var result = isChecked(1);

在這種情況下，開發(fā)人員在盡力嘗試寫forms[0].option1.checked，而沒有想我不用eval()該如何做。這樣的情況出現(xiàn)在很多10年左右工作經(jīng)驗的開發(fā)者，它們不明白如何更好地使用。這里也不是說eval()在這里不合適，而是因為沒有必要，你完全可以更簡單的實現(xiàn)，用如下的代碼：

function isChecked(optionNumber) {
    return forms[0]["option" + optionNumber].checked;
}

var result = isChecked(1);

在很多情況下，你可以使用[]表示法來替換eval()的使用去構(gòu)造屬性名，這也是 [] 存在的一個原因。包括道格拉斯在內(nèi)的早期博主們都是在討論這個問題。

不使用eval()的一個重要理由是為了達到調(diào)試的目的。以前，如果出現(xiàn)問題，不可能進入eval()代碼。這就意味著你的代碼運行在一個黑盒中，然后從中取出?，F(xiàn)在Chrome開發(fā)工具可以調(diào)試eval()內(nèi)的代碼，但是有一個問題是，你必須等代碼執(zhí)行一次后才出現(xiàn)在源面板中。

不使用eval()可以令我們的代碼調(diào)試起來更容易，跟方便的查看源代碼。但這并不能說明eval()是魔鬼，這只是開發(fā)工作流程中的一點問題。

對eval()的另一個重要影響是它的性能。在舊的瀏覽器中，你遇到了雙重解釋懲罰，也就是說，你的代碼被解釋，而eval()中的代碼被解釋。在沒有編譯JavaScript引擎的瀏覽器中，結(jié)果可能會慢十倍(甚至更糟)。

在現(xiàn)代編譯JavaScript的引擎中，eval()仍然是一個問題。大多數(shù)引擎可以用兩種方式運行代碼:快速路徑或慢路徑。快速路徑代碼是一種穩(wěn)定且可預(yù)測的代碼，因此可以為更快的執(zhí)行而編譯。緩慢的路徑代碼是不可預(yù)測的，這使得編譯很難，并且可能仍然使用一個解釋程序運行。在你的代碼中僅僅存在eval()意味著它是不可預(yù)測的，因此將在解釋器中運行它以“舊瀏覽器”的速度運行，而不是“新瀏覽器”的速度(10倍的差異)。

同樣的，eval()使YUI壓縮器不可能在調(diào)用eval()的范圍內(nèi)munge變量名。由于eval()可以直接訪問任何這些變量，重命名它們會引入錯誤(其他工具如閉包編譯器和UglifyJS可能仍然會蒙混這些變量——最終導(dǎo)致錯誤)。

因此，在使用eval()時，性能仍然是一個大問題。但這很難讓它成為邪惡，但這是一個需要注意的警告。

在說到eval()的安全時，這是大部分人認為eval是魔鬼的有力佐證。大多數(shù)情況下，就是說XSS攻擊，以及eval()如何向它們打開代碼。在表面上，這種混淆是可以理解的，因為eval()在頁面上下文中可執(zhí)行任意代碼。如果你接受用戶輸入并通過eval()運行它，這將是危險的。但是，如果你的輸入不是來自用戶，是否存在真正的危險?

我收到了不止一個的抱怨，在我的CSS解析器中使用eval()的一段代碼中使用的代碼使用eval()將字符串標記從CSS轉(zhuǎn)換為JavaScript字符串值。除了創(chuàng)建自己的字符串解析器外，這是獲得token的正確字符串值的最簡單方法。到目前為止，還沒有人能夠或愿意提出一種攻擊方案，在這種情況下，這段代碼會引起麻煩，因為:

eval()的值來自于tokenizer

tokenizer已經(jīng)驗證了它是一個有效的字符串

代碼最常在命令行上運行。

即使在瀏覽器中運行，該代碼也被封閉在閉包中，不能直接調(diào)用。

當(dāng)然，由于這段代碼的主要目標是命令行，所以這個故事有點不同。

設(shè)計用于瀏覽器的代碼面臨不同的問題，但是eval()的安全性通常不是其中之一。同樣，如果你以某種方式接收用戶輸入并將其傳遞給eval()，那么你就是在自找麻煩，不要這樣做。但是，如果你使用eval()的輸入，只有你控制并且不能被用戶修改，那么就沒有安全風(fēng)險。

最常見的攻擊是來自服務(wù)器的eval()代碼。這一模式以引入JSON而著名，它之所以流行，是因為它可以通過eval()快速轉(zhuǎn)換成JavaScript。實際上，Douglas Crockford自己在他的原始JSON實用程序中使用eval()，因為它可以轉(zhuǎn)換速度。他確實添加了檢查以確保沒有真正的可執(zhí)行代碼，但是實現(xiàn)從根本上是eval()。

現(xiàn)在，大多數(shù)人都使用瀏覽器內(nèi)置的JSON解析功能來實現(xiàn)這一目的，盡管有些人仍然通過eval()來獲取任意的JavaScript，作為延遲加載策略的一部分。一些人認為，這才是真正的安全漏洞。如果正在進行中間人攻擊，那么你將在頁面上執(zhí)行任意攻擊代碼。

中間人攻擊被認為是eval()的永遠存在的危險，會受到蠕蟲的的攻擊。但是，這是一個與我無關(guān)的場景，因為任何時候你不能相信你正在聯(lián)系的服務(wù)器，就意味著有可能出現(xiàn)很多不好的事情。中間人攻擊可以通過多種方式向頁面注入代碼:

返回通過 加載的JavaScript代碼。

通過返回攻擊者控制的JSON-P請求代碼。

通過從一個Ajax請求返回attacker控制的代碼，然后eval()。

此外，這樣的攻擊可以很容易地竊取cookie和用戶數(shù)據(jù)，而不會改變?nèi)魏螙|西，更不用說通過返回攻擊者控制的HTML和CSS來進行網(wǎng)絡(luò)釣魚的可能性了。

簡單地說，eval()不會像加載外部JavaScript那樣打開中間人攻擊。如果你不能信任服務(wù)器上的代碼，那么你將遇到比eval()調(diào)用更大的問題。

我不是說你應(yīng)該跑出去，開始使用eval()。實際上，很少有好的用例來運行eval()。對于代碼清晰性、調(diào)試性，以及不應(yīng)該忽略的性能，確實存在一些問題。但是在eval()有意義的情況下，你不應(yīng)該害怕使用它。不要第一次使用它，但是不要讓任何人嚇到你，認為你的代碼在使用eval()時更加脆弱或不安全。

文章稍后可能還會繼續(xù)修改，也歡迎各位批評指正。有問題或者有其他想法的可以在我的GitHub上pr。