在看别的大牛的博客时,总会提示不要使用eval,一直没有深刻研究为何,总觉得是安全性问题,也没有去研究eval的其余的注意事项,安全
最近在看“JavaScript秘密花园”博客时,碰到这个问题,参考并作了一些总结。函数
首先,eval函数的做用是在当前做用域中执行一段JavaScript代码字符串,以下代码段1:性能
//代码段1
var foo = 1; function test() { var foo = 2; eval('foo = 3'); return foo; } test(); // 3 foo; // 1
可是 eval
只在被直接调用而且调用函数就是 eval
自己时,才在当前做用域中执行,如何理解这句话呢,以上的代码就是对红色背景部分的描述,spa
如下代码段2就不属于对于eval的直接调用了,代码段2以下:.net
//代码段2 var foo = 1; function test() { var foo = 2; var bar = eval; bar('foo = 3'); return foo; } test(); // 2 foo; // 3
上面的代码等价于在全局做用域中调用 eval
,和下面两种写法(代码段3)效果同样:设计
//代码段3 // 写法一:直接调用全局做用域下的 foo 变量 var foo = 1; function test() { var foo = 2; window.foo = 3; return foo; } test(); // 2 foo; // 3 // 写法二:使用 call 函数修改 eval 执行的上下文为全局做用域 var foo = 1; function test() { var foo = 2; eval.call(window, 'foo = 3'); return foo; } test(); // 2 foo; // 3
在任何状况下咱们都应该避免使用 eval
函数。99.9% 使用 eval
的场景都有不使用 eval
的解决方案。code
eval
定时函数 setTimeout
和 setInterval
均可以接受字符串做为它们的第一个参数。 这个字符串老是在全局做用域中执行,所以 eval
在这种状况下没有被直接调用。blog
eval
也存在安全问题,由于它会执行任意传给它的代码, 在代码字符串未知或者是来自一个不信任的源时,绝对不要使用 eval
函数。ip
绝对不要使用 eval
,任何使用它的代码都会在它的工做方式,性能和安全性方面受到质疑。 若是一些状况必须使用到 eval
才能正常工做,首先它的设计会受到质疑,这不该该是首选的解决方案, 一个更好的不使用 eval
的解决方案应该获得充分考虑并优先采用。作用域