免责声明:假设问题中提到的代码运行在受信任的环境(而不是浏览器)中,并且代码本身是受信任的。因此,任何有关
evaleval当使用
evalevalevaly+2=12var res = eval("
var x = 5;
var y = x*2;
y+2;
"); //res = 12
同时,如果我们将这样的代码包装到
Functionundefinedvar res = (new Function("
var x = 5;
var y = x*2;
y+2;
")).call(); //res=undefined
要修复最后一个片段,我们需要向最后一个表达式添加显式返回:
var res = (new Function("
var x = 5;
var y = x*2;
return y+2; // <------- changes here
")).call(); //res=12
因此,
evalFunction而且我不能只用遗留代码中的
evalFunction()return Function()有没有办法避免添加显式返回,因此可以以透明的方式将
evalFunction()或者也许存在另一种技术,它可以提供与
evaleval注意:系统中使用的JS引擎相当老旧,因此不支持
strict mode只需从函数返回评估代码:
const code = `alert = 1; 2*2`;
const fn = new Function('', `return eval('${code}')`);
console.log(fn());