关于JS中的eval()函数问题

今天练习ajax时，用到了函数【ajax返回的文本字符串】，但相关知识点已记不太清楚了，于是就去查找相关资料，做了以下整理。

eval()是什么？

eval()方法就像是一个完整的ECMAScript解析器，即要执行的ECMAScript(或JavaScript)的自符串的解析器。Eg:

eval("alert(11)");
//等价于
alert(11);

eval()在函数中的字符串解析规则

解析器发现代码中调用 eval() 方法时，它会将传入的参数当作实际的 ECMAScript 语句来解析，然后把执行结果插入到原位置。通过eval() 执行的代码被认为是包含该次 调    用的执行环境的一部分，因此被执行的代码具有与该执行环境相同的作用域链。Eg:

eval("function sayHi() { alert('hi'); }");
sayHi();

使用eval()函数的注意事项

在 eval()中创建的任何变量或函数都不会被提升，因为在解析代码的时候，它们被包含在一个字符串中；它们只在eval() 执行的时候创建。严格模式下，在外部访问不到eval()中创建的任何变量或函数，因此前面两个例子都会导致错误。 同样，在严格模式下，为 eval 赋值也会导错误。

eval()函数的缺点

• eval 不容易调试：在 chromeDev 等环境下，在 eval 处是不能打断点的；
• eval 的性能低：现代浏览器中有两种编译模式：fast path 和 slow path，fast path 是编译那些稳定且可预测的代码，而 eval 明显是不可预测，所以编译的时间会很慢。
• 安全问题这也是我觉得最主要的原因，eval 在处理不确定字符串的时候，会引起 XSS（跨站脚本攻击）。而且不光是eval，其他方式也可能引起安全问题。比如：莫名其妙给你注入一个标签，或者一段来历不明的JSON-P请求，再或者就是Ajax请求中的eval代码…所以啊，只要你的信息源不安全，你的代码就不安全。不单单是因为eval 引起的。  综合以上来说，尽量少在函数中使用eval()函数，特别是在不知道一些数据来源时尽量不使用。