代码之家 › 专栏 › 技术社区 › Kirzilla

在埃瓦尔的论证中逃逸

javascript

Kirzilla · 技术社区 · 14 年前

我在用 eval 指定动态对象的属性。

property_name_1 = property1;
property_name_2 = property2;
property_value_1 = 1;
property_value_2 = 2;
var obj = new Object;

eval("obj."+property_name_1+"='"+property_value_1+"'");
eval("obj."+property_name_2+"='"+property_value_2+"'");

然后我在Ajax请求期间使用这个对象作为post数据。

一切正常,但众所周知,Eval不安全,我应该逃跑。 property_value_1 , property_value_2 . 例如, property_value_2 = "<a href=''>Yahoo!</a>" 会导致错误。

最好的方法是什么?

谢谢你

4 回复 | 直到 14 年前

Guffa 14 年前

最好的办法是不使用 eval 完全:

obj[property_name_1] = property_value_1;
obj[property_name_2] = property_value_2;

如果仍要这样做,则必须转义撇号和反斜杠,以便将值放入字符串文本中:

eval("obj." + property_name_1 + "='" + property_value_1.replace(/\\/g,'\\\\').replace(/'/g,"\\'") + "'");
eval("obj." + property_name_2 + "='" + property_value_2.replace(/\\/g,'\\\\').replace(/'/g,"\\'") + "'");

(如果用引号而不是撇号包围文字字符串,则必须转义引号和反斜杠。)

mhitza Federico Taschin 14 年前

是 eval 真的需要吗?

基于您的示例,您可以简单地执行以下操作:

obj[property_name_1] = property_value_1;
obj[property_name_2] = property_value_2;

如果这不是一个解决方案,无论出于什么原因,继续使用 \ .

ArtBIT 14 年前

尝试:

var obj = new Object();
obj[property_name] = property_value;

-1

Kalinin 14 年前

我将使用对象文本:

var obj = {
    property_name_1: property_value_1, 
    property_name_2: property_value_2
};

推荐文章

Softly · 单选按钮未按预期取值

1 年前

Jason Owens · 我的html/javascript播放按钮无法播放嵌入的youtube视频

1 年前

SlickRed · 我无法使用JS关注HTML元素

1 年前

Mayron Guedes · 如果登录名不在本地存储中,如何重定向页面?

1 年前

assembler · Nextjs没有处理发布请求

1 年前

PavelB · 如何使用Seleniumwebdriver和mocha只运行一个测试文件?

1 年前

BADRUM · 执行两个获取功能后,如何导航回页面?

1 年前

Toniq · javascript为php保存多维数组

1 年前

Natalie Smyth · 隐藏类只在我试图切换的两个部分中的一个部分上工作

1 年前

SkyWalker · 在JavaScript中,合并日期-时间序列的有效算法是什么?

1 年前