no-eval
禁止使用 eval()
JavaScript 的 eval() 函数可能存在危险,并且经常被误用。在不受信任的代码上使用 eval() 会使程序面临多种注入攻击的风险。在大多数情况下,可以使用更好的替代方法来解决问题,从而避免使用 eval()。
var obj = { x: "foo" },
key = "x",
value = eval("obj." + key);
规则详情
此规则旨在通过禁止使用 eval() 函数来防止潜在的危险、不必要的和缓慢的代码。因此,只要使用 eval() 函数,它就会发出警告。
此规则的错误代码示例
在在线运行中打开
/*eslint no-eval: "error"*/
var obj = { x: "foo" },
key = "x",
value = ("obj." + key);
(0, )("var a = 0");
var foo = ;
foo("var a = 0");
// This `this` is the global object.
this.eval("var a = 0");
使用 window 全局变量的此规则的其他错误代码示例
在在线运行中打开
/*eslint no-eval: "error"*/
/*global window*/
window.("var a = 0");
使用 global 全局变量的此规则的其他错误代码示例
在在线运行中打开
/*eslint no-eval: "error"*/
/*global global*/
global.("var a = 0");
此规则的正确代码示例
在在线运行中打开
/*eslint no-eval: "error"*/
var obj = { x: "foo" },
key = "x",
value = obj[key];
class A {
foo() {
// This is a user-defined method.
this.eval("var a = 0");
}
eval() {
}
static {
// This is a user-defined static method.
this.eval("var a = 0");
}
static eval() {
}
}
选项
allowIndirect
此规则有一个选项可以允许 “间接 eval”。间接调用 eval 比直接调用 eval 危险性更小,因为它们无法动态更改作用域。因此,它们也不会像直接 eval 那样对性能产生负面影响。
{
"no-eval": ["error", {"allowIndirect": true}] // default is false
}
使用 {"allowIndirect": true} 选项的此规则的错误代码示例
在在线运行中打开
/*eslint no-eval: ["error", {"allowIndirect": true} ]*/
var obj = { x: "foo" },
key = "x",
value = ("obj." + key);
使用 {"allowIndirect": true} 选项的此规则的正确代码示例
在在线运行中打开
/*eslint no-eval: ["error", {"allowIndirect": true} ]*/
(0, eval)("var a = 0");
var foo = eval;
foo("var a = 0");
this.eval("var a = 0");
在在线运行中打开
/*eslint no-eval: ["error", {"allowIndirect": true} ]*/
/*global window*/
window.eval("var a = 0");
在在线运行中打开
/*eslint no-eval: ["error", {"allowIndirect": true} ]*/
/*global global*/
global.eval("var a = 0");
已知限制
-
此规则会警告每个
eval(),即使eval不是全局的。此行为是为了检测直接eval的调用。例如module.exports = function(eval) { // If the value of this `eval` is built-in `eval` function, this is a // call of direct `eval`. eval("var a = 0"); }; -
此规则无法捕获重命名全局对象的情况。例如
var foo = window; foo.eval("var a = 0");
相关规则
版本
此规则在 ESLint v0.0.2 中引入。
进一步阅读