使用 eval() 执行用户提供的代码存在问题吗？

Question

我有一个计算器小部件 (jsfiddle)，它使用 javascript 的 eval() 函数来计算用户的输入作为计算器工作。它是 Chrome 扩展中的嵌入式小部件，因此它没有任何数据库或任何其他可能受到损害的附加内容，并且它不发送或接收任何数据。

显然，由于它使用了 javascript 的 eval 函数，因此任何 javascript 都可以由该框执行。这有什么风险吗？我对 javascript 相当陌生，所以我不确定用户能够在这个小部件中评估自己的 javascript 会产生什么结果。他们所做的任何事情难道不会在刷新后恢复吗？

Answer 1

JavaScript 在客户端运行，因此您的服务器不会面临任何迫在眉睫的危险。

但是，如果用户可以以某种方式保存他们的输入并提供给其他用户的链接，这可能会成为一个问题，因为这将允许执行任意 JavaScript（即：跨站脚本又名 XSS)

Answer 2

抛开所有其他“评估是邪恶的”和“代码质量”问题......

安全问题不是关于允许用户提供的代码：用户可以删除他们拥有的每个文件，如果他们喜欢这样。不推荐，但完全有可能。

JavaScript 的危险，无论是 eval() 还是其他方式，都允许攻击者在以下情况下代表用户运行代码（未经同意）用户（ergo 浏览器/域）。

这称为 XSS：跨站点脚本：

跨站点脚本漏洞是 Web 应用程序漏洞，允许攻击者通过寻找将恶意脚本注入网页的方法来绕过客户端安全性...[这可能涉及也可能不涉及评估]，攻击者可以获得对敏感页面内容、会话 cookie 以及浏览器代表用户维护的各种其他信息的提升访问权限。因此，跨站脚本攻击是代码注入的一种特殊情况。

快乐编码。

Answer 3

请参阅：高效 JavaScript 代码中的“eval 是邪恶的”：

“eval”方法和相关结构（例如“new Function”）非常浪费。它们实际上要求浏览器创建一个全新的脚本环境（就像创建一个新的网页一样），从当前范围导入所有变量，执行脚本，收集垃圾，并将变量导出回原始环境。此外，无法出于优化目的而缓存代码。如果可能的话，应该避免 eval 及其亲属。