在 js 的学习过程中,经常会看到 不推荐使用 eval,甚至将 eval 比为 evil(恶魔)。本人也是觉得,如果没有十足的必要,就不要用 eval。eval 的作用是能够将一段 js 文本字符串变成可执行的 js 代码,与此有类似功能的还有:Function、setInterval、setTimeout。不建议使用 eval 的理由有以下几点:
1. eval 不容易调试:
在 chromeDev 等环境下,在 eval 处是不能打断点的;
2. eval 的性能低:
现代浏览器中有两种编译模式:fast path 和 slow path,fast path 是编译那些稳定且可预测的代码,而 eval 明显是不可预测,所以编译的时间会很慢。
3. 安全问题: 这也是我觉得最主要的原因,eval 在处理不确定字符串的时候,会引起 XSS(跨站脚本攻击)。而且不光是eval,其他方式也可能引起安全问题。比如:莫名其妙给你注入一个<script src="">标签,或者一段来历不明的JSON-P请求,再或者就是Ajax请求中的eval代码…所以啊,只要你的信息源不安全,你的代码就不安全。不单单是因为eval引起的。
![主流浏览器四大综合性能测试[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)