百科问答小站 logo   百科问答小站
问题

避免使用 eval、new Function 的方法可以降低 XSS 攻击的风险吗?为什么?

回答
采用避免使用 `eval` 和 `new Function` 的策略,确实能够显著降低 JavaScript 引起的跨站脚本(XSS)攻击风险。这背后的原因可以从这两个函数的本质以及它们如何被恶意利用来理解。

首先,让我们深入了解一下 `eval` 和 `new Function` 的本质。本质上,它们都是 JavaScript 代码的执行引擎。当你将一段字符串传递给 `eval` 时,JavaScript 解释器会将其解析为合法的 JavaScript 代码,然后立即执行。而 `new Function` 则是创建一个新的函数对象,该函数对象的函数体就是你传递的字符串。这个函数在被调用时,其内容才会被执行。

从表面上看,这似乎只是执行字符串中的代码,似乎没什么大不了。然而,问题的关键在于“执行”这个动作。XSS 攻击的核心就是利用用户输入或第三方数据,将其作为代码注入到网页的上下文中,从而在用户的浏览器中执行恶意脚本。

现在,我们来分析一下为什么避免使用 `eval` 和 `new Function` 会降低 XSS 风险:

1. 代码执行的不可控性: 当你使用 `eval` 或 `new Function` 执行从外部(例如用户输入、API响应、URL参数等)获取的字符串时,你实际上是在信任这个字符串是安全的,并且能够按照你的预期执行。然而,如果攻击者能够控制这个字符串的内容,他们就可以注入任何 JavaScript 代码。这些代码可以在你的网页环境中执行,窃取用户的敏感信息(如 cookies、会话令牌),修改网页内容,重定向用户到恶意网站,甚至利用浏览器漏洞执行更危险的操作。

举个例子,如果你有一个功能是根据用户输入动态生成一个计算公式,然后用 `eval` 执行,比如:

```javascript
let userInput = prompt("请输入一个计算表达式:");
let result = eval(userInput); // 如果用户输入 ""
console.log(result); // 浏览器会弹出警告框
```

在这个场景下,`eval` 直接将用户输入的字符串当作代码执行。如果用户输入的是一个恶意的 `'
}
});

```

这里的 `message` 会被渲染成文本 ``,而不是被浏览器当作 `

网友意见

user avatar

可以说对也可以说不对。


对的部分是,这些东西的确是容易产生攻击的薄弱点。

不对的部分是,在实操中,像这样简单粗暴的说某些东西不能用,又不给出完全的替代方案的话,那程序员们就会用更SB,风险更大的方案来代替。最后导致程序不仅像屎一样更容易被攻击还更难看出毛病。

类似的话题

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有

服务条款
联系我们
关于我们
隐私政策
友情链接
知乎
百度问答
搜狐
新浪