22

对我来说,模板字面量有点像 eval,而且经常有人说使用 eval 是个坏主意

我不关心模板文字的性能,但我关心注入攻击(以及我可能没有想到的其他安全问题)。

编辑

一个让我觉得奇怪的例子

let ii = 1;
function counter() {
    return ii++;
}
console.log(`${counter()}, ${ii++}, ${counter()}`);

哪个输出

1、2、3

模板文字在全局层面产生了副作用。既可以通过函数,也可以直接。

编辑 2

说明模板字面量安全性的示例

let ii = 1;
let inc = function() { ii++; }
console.log('Starting: ' + ii);
let input = prompt('Input something evil (suggestion: inc() or ii++)');
console.log(`You input: ${input}`);
console.log('After template literal: ' + ii);
eval(input);
console.log('After eval: ' + ii);

如果您ii++在提示时输入,它会记录

开始: 1

你输入:ii+=1

在模板文字之后:1

评估后:2

编辑 3

我已经开始研究 ECMAScript 规范

虽然我没有深入了解细节,但感觉模板文字的指定比 eval 更安全。

4

3 回答 3

34

一个区别eval是模板文字是在编译时解析的,而参数 toeval只在运行时被解析,当eval被执行时。

与此相关的是,eval它可以获得动态构建的参数,而模板文字是......文字:它不能存储为模板变量,您可以动态构建,移动并最终解析:没有“模板变量“ 数据类型。标记函数实际上并不获取模板变量作为参数,而是获取它的已解析组件,这些组件在编译时是已知的。

一些例子

有了eval你可以有这种情况:

var code = prompt('enter some evil code');
eval(code);

但这对于模板文字是不可能的:

var literal = prompt('enter some evil template literal');
tag literal; // there is no data type or syntax for this.
`${literal}`; // and this just gives you the entered string.

有什么可能,是这样的:

var str = prompt('enter some string');
tag`${str}`;

但这不会导致不需要的代码执行,至少不会比这更糟:

var str = prompt('enter some string');
myfunc(str);

任何函数调用都必须已经在模板文字中进行了字面编码。字符串变量的值不能改变它。模板文字无法调用变量函数。这:

`${func(str)}`;

...将调用func, 并且仅该函数。它由程序员选择。

一个相当邪恶的模板文字

话虽如此,这仍然是可能的:

var func = prompt ("enter some evil function name (suggestion: 'alert')");
var param = prompt ("now provide an argument for " + func);

`${window[func](param)}`;

但很明显,该程序愿意打开在全局对象上执行任何功能的可能性。那么确实,你正在接近邪恶eval

请注意,通过以下方式可以实现相同的效果:

window[name](param);

最邪恶的模板字面量

正如所评论的,那么您不妨使这个模板文字:

`eval(str)`;

...所以邪恶的部分不是模板文字,而是你设计的通用函数调用。为此,您不需要模板文字或eval,而是一个糟糕的程序员;-)

关于示例

你举了这个例子:

let ii = 1;
function counter() {
    return ii++;
}
console.log(`${counter()}, ${ii++}, ${counter()}`);

这将执行您的counter函数,但不同之eval处在于字符串文字在设计时已经存在,并且无法在运行时构造。此代码旨在增加您的计数器,与以下内容没有本质区别:

console.log(counter() + ', ' + (ii++) + ', ' + counter());

编译时间

为了强调编译/运行时解析的区别,请注意您不能使用没有有效语法的模板文字运行代码。

比较这两个脚本:

alert('press OK');
eval('alert("hello)');

和:

alert('press OK');
`${alert("hello)}`;

注意语法错误。第一个脚本只会在运行时在eval解析参数时注意到语法错误,而第二个脚本甚至不会运行,并立即给出语法错误。

更准确地说,eval执行一个新脚本,具有自己的编译和运行阶段。模板文字像其他代码一样被解析/编译。

于 2016-05-15T21:46:25.067 回答
2

我认为evaltemplate literals之间有一个很大的区别。

eval可以评估在代码中不直接可见的动态表达式。这很危险,因为您可以评估可能来自任何地方的任何字符串:客户端/第三方/数据库...

但是,对于模板文字,情况有所不同,

  • 因为你可以从代码中看到完整的模板,
  • 表达式与您的内部对象一起使用,并且无法评估动态表达式。

例如,这将与eval一起使用

function doSomething() {
  console.log('HELLO!');
}
    
// This will work.
var expression = 'doSomething()';
eval(expression);

但这不适用于模板文字

// This will not.
`${expression}`;

您需要静态插入表达式以使其工作

// To make it work you need to insert it statically.
`${doSomething()}`;

https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Template_literals

于 2016-05-15T21:48:41.543 回答
-1

如果您担心的话,模板文字会自动转义引号。它们也不评估或执行任何东西,它们将您输入的任何内容转换为字符串。如果您担心 SQL 注入,请尝试使用模板文字执行此操作,您会看到它们被转义。

你应该避免使用 eval,除非你有充分的理由使用它并且你真的知道你需要它来实现你的目标。否则最好避免

于 2016-05-15T21:38:34.637 回答