Javascript 将eval()限制在狭窄的范围内
我有一个javascript文件,它读取另一个文件,该文件可能包含需要进行eval()-ed的javascript片段。脚本片段应该符合javascript的严格子集,该子集限制了它们可以做什么以及可以更改哪些变量,但我想知道是否有某种方法可以通过阻止eval看到全局范围内的变量来实现这一点。如下所示:Javascript 将eval()限制在狭窄的范围内,javascript,eval,Javascript,Eval,我有一个javascript文件,它读取另一个文件,该文件可能包含需要进行eval()-ed的javascript片段。脚本片段应该符合javascript的严格子集,该子集限制了它们可以做什么以及可以更改哪些变量,但我想知道是否有某种方法可以通过阻止eval看到全局范围内的变量来实现这一点。如下所示: function safeEval( fragment ) { var localVariable = g_Variable; { // do magic sc
function safeEval( fragment )
{
var localVariable = g_Variable;
{
// do magic scoping here so that the eval fragment can see localVariable
// but not g_Variable or anything else outside function scope
eval( fragment );
}
}
实际代码不需要像这样——我对闭包等任何奇怪的技巧都持开放态度,但我确实想知道这是否可行。您不能限制eval的范围 顺便说一句,见
也许有其他的方法来完成你想要完成的事情,但你不能以任何方式限制评估的范围。您可以在javascript中将某些变量隐藏为伪私有变量,但我认为这不是您的目的。简短回答::不。如果它在全局范围内,任何东西都可以使用它 详细回答:如果你正在
eval()eval()function maskedEval(scr)
{
// set up an object to serve as the context for the code
// being evaluated.
var mask = {};
// mask global properties
for (p in this)
mask[p] = undefined;
// execute script in private context
(new Function( "with(this) { " + scr + "}")).call(mask);
}
eval()Function()eval()有一个项目叫做Google Caja。您可以使用Caja“沙箱”第三方javascript 这里有一个想法。如果您使用静态分析器(例如,您可以使用它来构建)来确定eval代码使用哪些外部变量,并为它们设置别名,该怎么办。所谓“外部代码”,我指的是评估代码使用但不声明的变量。下面是一个例子:
eval(safeEval(
"var x = window.theX;"
+"y = Math.random();"
+"eval('window.z = 500;');"))
";(function(y, Math, window) {"
+"var x = window.theX;"
+"y = Math.random();"
+"eval(safeEval('window.z = 500;');"
"})();"
- 您可以确保eval'd代码既不能读取外部变量的值,也不能写入外部变量(通过将
作为函数参数传递,或不传递参数)。或者,如果变量被不安全地访问,您也可以简单地抛出一个异常undefined - 您还可以确保eval创建的变量不会影响周围的范围
- 您可以允许eval通过在闭包外部声明变量而不是作为函数参数来在周围的范围中创建变量
- 通过复制外部变量的值并将其用作函数的参数,可以允许只读访问
- 您可以通过告诉SafeVal不要别名这些特定名称来允许对特定变量进行读写访问
- 您可以检测eval未修改特定变量的情况,并允许自动排除该变量的别名(例如,在本例中,未修改数学)
- 您可以通过传入可能不同于周围上下文的参数值,为eval提供一个要在其中运行的上下文
- 您还可以通过从函数返回函数参数来捕获上下文更改,以便在eval之外检查它们
evaleval(safeEval(…)当然,完成所有这些工作可能会降低代码的速度,但在某些地方,成功并不重要。希望这对别人有帮助。如果有人创建了一个概念证明,我希望在这里看到它的链接;) 不要使用
evaljs.jsvar jsObjs = JSJS.Init();
var rval = JSJS.EvaluateScript(jsObjs.cx, jsObjs.glob, "1 + 1");
var d = JSJS.ValueToNumber(jsObjs.cx, rval);
window.alert(d); // 2
JSJS.End(jsObjs);
正如您所看到的,没有什么可怕的。类似于上面使用块方法的
中的动态函数包装脚本,这允许您将伪全局变量添加到要执行的代码中。您可以通过将特定内容添加到上下文中来“隐藏”它们
function evalInContext(source, context) {
source = '(function(' + Object.keys(context).join(', ') + ') {' + source + '})';
var compiled = eval(source);
return compiled.apply(context, values());
// you likely don't need this - use underscore, jQuery, etc
function values() {
var result = [];
for (var property in context)
if (context.hasOwnProperty(property))
result.push(context[property]);
return result;
}
}
有关示例,请参见。请注意,并非所有浏览器都支持Object.keys
。不要执行您不信任的代码。Globals总是可以访问的。
如果您确实信任代码,则可以使用其作用域中的特定变量执行代码,如下所示:
(new Function("a", "b", "alert(a + b);"))(1, 2);
这相当于:
(function (a, b) {
alert(a + b);
})(1, 2);
Shog9♦'她回答得很好。但是如果您的代码只是一个表达式,那么代码将被执行,并且不会返回任何内容。对于表达式,使用
function evalInContext(context, js) {
return eval('with(context) { ' + js + ' }');
}
以下是如何使用它:
var obj = {key: true};
evalInContext(obj, 'key ? "YES" : "NO"');
它将返回“YES”
如果不确定要执行的代码是表达式还是语句,可以将它们组合起来:
function evalInContext(context, js) {
var value;
try {
// for expressions
value = eval('with(context) { ' + js + ' }');
} catch (e) {
if (e instanceof SyntaxError) {
try {
// for statements
value = (new Function('with(this) { ' + js + ' }')).call(context);
} catch (e) {}
}
}
return value;
}
我意外地发现我可以使用代理来限制scope对象,将变量屏蔽在范围之外似乎要容易得多。我不确定这种方法是否有缺点,但到目前为止,它对我很有效
函数maskedEval(src,ctx={})
{
ctx=新代理(ctx{
has:()=>true
})
//在私有上下文中执行脚本
设func=(新函数(“with(this){“+src+”}”);
函数调用(ctx);
}
a=1;
maskedEval(“console.log(a)”,{console:console});
maskedEval(“console.log(a)”,{console:console,a:22});
马斯克德瓦尔(“a=1,{a:22}”)
控制台日志(a)
eval