在 JavaScript 中什么时候应该使用 `eval()` 和 `new Function()`？

eval() 和 new Function() 在 JavaScript 中可以互换吗？

处理包含 JavaScript 代码的字符串时，通常会出现两个函数： eval() 和 new Function()。虽然两者都可以执行嵌入字符串中的代码，但它们表现出不同的特征和行为。

eval() 与 new Function()：主要区别

• 范围： 主要区别在于它们的范围。 eval() 评估当前执行范围内的代码，这意味着它可以访问局部变量。另一方面，new Function() 创建了一个新的作用域，并且不能直接访问局部变量。
• 安全性： eval() 因安全漏洞而臭名昭著。它允许评估任意代码，如果输入字符串不受信任，则可能导致恶意代码执行。 new Function() 更安全，因为它将代码解析为在单独作用域中运行的函数对象。

理解代码片段

代码片段您提供的演示了 eval() 和 new Function() 的不同行为：

<code class="javascript">var evaluate = function(string) {
    return eval('(' + string + ')');
}

var func = function(string) {
    return (new Function( 'return (' + string + ')' )());
}</code>

两个函数都评估字符串“2 1”并返回结果。但是，如果您修改代码以在函数中包含局部变量“a”，您将观察到 eval() 可以访问和修改局部变量，而 new Function() 则不能。

注意事项和最佳实践

虽然 eval() 和 new Function() 提供了执行动态代码的便捷方法，但应谨慎使用它们：

• 避免eval(): 由于安全风险和性能问题，通常不鼓励使用 eval()。
• 谨慎使用 new Function()： new Function() 比 eval( 更安全），但它仍然容易受到注入攻击。
• 清理输入：始终确保您通过 eval() 或 new Function() 执行的代码经过清理并受信任。

大多数情况下，建议依赖已建立的 JavaScript 语言功能来动态执行代码，例如模板文字或不带 new 的 Function 构造函数。

以上是在 JavaScript 中什么时候应该使用 `eval()` 和 `new Function()`？的详细内容。更多信息请关注PHP中文网其他相关文章！