eval执行字符串代码的域风险解析

JavaScript 中的 `eval` 因在当前作用域直接执行字符串代码，极易引发变量覆盖、敏感数据泄露和作用域污染等严重安全风险，它既无法隔离执行环境，也不受严格模式充分保护；实践中应坚决避免使用，转而采用更安全、更可控的替代方案——如 `JSON.parse` 解析数据、`Function` 构造器实现沙箱化表达式求值，或通过白名单映射机制解耦配置与逻辑，从根本上杜绝动态代码执行带来的不可控隐患。

eval 在 JavaScript 中会将字符串当作代码执行，但它默认在**当前作用域**（非全局、非独立沙箱）中运行，这带来严重的作用域污染和安全风险。

作用域不受控：变量可能意外覆盖或泄露

eval 执行的代码共享外层函数的词法作用域。如果字符串里声明了 var 或 let 变量，行为差异大：

• 用 var 声明 → 变量提升并绑定到当前函数作用域，可能覆盖同名变量
• 用 let/const 声明 → 报错“SyntaxError: Unexpected identifier”，因为 eval 不支持在严格模式下用 let/const 声明新绑定（除非整个外层是严格模式且 eval 自身也受约束）
• 不加声明直接赋值（如 a = 42）→ 在非严格模式下会隐式创建全局变量；严格模式下直接报错

无法隔离：不能天然形成封闭作用域

eval 没有类似 Function 构造器那样的作用域隔离能力。例如：

function foo() {
  const secret = "abc";
  eval("console.log(secret); secret = 'hacked';");
  console.log(secret); // 输出 'hacked'
}

上面的 secret 被直接修改，eval 完全可读写外层变量，毫无防护。

替代方案更安全可靠

绝大多数 eval 场景都有更优解：

• 解析 JSON → 用 JSON.parse()，既快又安全，拒绝执行任意代码
• 动态计算表达式 → 改用 Function('return ' + expr)()，它创建新函数，作用域完全隔离（无权访问外层变量）
• 配置驱动逻辑 → 提前定义白名单函数映射表，用属性访问代替执行字符串（如 handlers[config.action]?.(data)）
• 需要真正动态求值（极少见）→ 至少包裹在立即执行函数中，并确保输入经严格校验或沙箱化（如使用 vm2 等第三方模块）

严格模式下仍不保险

启用 "use strict" 可阻止隐式全局变量，限制 with 和某些 eval 行为，但无法阻止 eval 访问和修改当前作用域内的所有变量与函数。它只是堵住部分漏洞，不是作用域防火墙。

到这里，我们也就讲完了《eval执行字符串代码的域风险解析》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！