Interpréter du JavaScript en JavaScript
Ce n'est pas si simple : partie 1, par yahiko

Le , par yahiko, Rédacteur/Modérateur
Le langage JavaScript étant un langage interprété, il possède la faculté commune aux autres langages interprétés d'évaluer du code JavaScript. De base, il existe une fonction spéciale qui se nomme eval().

Cette fonction est souvent décriée ; un peu pour les traitements supplémentaires causés par l'appel d'un nouvel interpréteur JavaScript, même si c'est relativement négligeable sur des plateformes "normales" ; beaucoup pour les failles de sécurité et d'encapsulation qu'elle permet comme le montre le bout de code ci-dessous :

Code javascript : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
var global = 5; 
  
function checkPassword(pass) { 
    // ... 
    // retourne true ou false 
    return false; 
} 
  
function parseScript() { 
    var local = 1; 
    eval('var local = 13;'); 
    eval('var global = 0;'); 
    alert(local); // ==> x = 13 
    alert(global); // ==> g = 0 !!! 
    eval('window.checkPassword = function(pass) { return true; }'); 
} 
  
parseScript(); 
var accessOk = checkPassword(''); 
alert(accessOk); // ==> true !!!

La fonction eval() utilisée sans précaution peut permettre au script interprété de modifier par inadvertance ou intentionnellement (et dans ce cas de façon malveillante) le code du programme appelant dans la mesure où :
  • d'une part elle ne crée pas de nouveau contexte d'exécution mais s'appuie sur le contexte duquel eval() est appelée. Dans l'exemple, la variable local définie dans la fonction appelante parseScript() et celle définie dans eval(), même en utilisant le mot-clé var, désigne en réalité le même objet.
  • et d'autre part elle a accès à l'objet global window puisqu'objet global justement ce qui est très compromettant d'un point de vue de la sécurité. Le code du script peut ainsi redéfinir tous les objets et toutes les fonctions du programme appelant comme le montre l'exemple avec la fonction checkPassword().


Pour pallier à la première faille, mais qui n'est pas la plus grave, il est possible d'utiliser le mode strict qui oblige eval() à créer son propre contexte d'exécution. Les variables précédées par le mot-clé var seront bien de nouveaux objets indépendants des objets du contexte appelant, même en cas d'homonymie. La fonction eval() se comporte donc comme une fermeture.

Code javascript : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
var global = 5; 
  
function checkPassword(pass) { 
    // ... 
    // retourne true ou false 
    return false; 
} 
  
function parseScript() { 
    'use strict'; 
    var local = 1; 
    eval('var local = 13;'); 
    eval('var global = 0;'); 
    alert(local); // ==> x = 1 
    alert(global); // ==> g = 5 
    eval('window.checkPassword = function(pass) { return true; }'); 
} 
  
parseScript(); 
var accessOk = checkPassword(''); 
alert(accessOk); // ==> true !!!

Cependant persiste le problème de l'accès aux variables globales qui est le vrai point noir de cette fonction. D'où la phrase fameuse de Douglas Crockford à son sujet : "eval is evil".

Il existe heureusement des solutions pour se passer d'eval(), mais ce n'est pas si simple.
Dans une seconde partie, j'expliquerai comment interpréter du JavaScript de façon fiable.


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster un commentaire

Avatar de phpiste phpiste - Membre averti https://www.developpez.com
le 21/04/2015 à 12:54
[CITATION]Dans une seconde partie, j'expliquerai comment interpréter du JavaScript de façon fiable.[/CITATION]
On est en attente de cette explication
Avatar de yahiko yahiko - Rédacteur/Modérateur https://www.developpez.com
le 21/04/2015 à 18:00
Citation Envoyé par phpiste Voir le message
[CITATION]Dans une seconde partie, j'expliquerai comment interpréter du JavaScript de façon fiable.[/CITATION]
On est en attente de cette explication
Elle ne devrait pas tarder à arriver ^^
Contacter le responsable de la rubrique JavaScript