eval 是什么
缪晋
它的功能是把 对应的字符串解析成JS代码并运行
应该避免使用eval,不安全,非常耗性能(2次,一次解析成js语句,一次执行)
由JSON字符串转换为JSON对象的时候可以用eval
eval 是全局对象上的一个函数,会把传入的字符串当做 JavaScript 代码执行。如果传入的参数不是字符串,它会原封不动地将其返回。eval 分为直接调用和间接调用两种,通常间接调用的性能会好于直接调用。
直接调用时,eval 运行于其调用函数的作用域下;
var context = 'outside';
(function(){
var context = 'inside';
return eval('context');
})();
// return 'inside'
而间接调用时,eval 运行于全局作用域。
var context = 'outside';
(function(){
var context = 'inside';
geval = eval;
return geval('context');
// 下面两种也属于间接调用
// return eval.call(null, 'context');
// return (1, eval)('context');
})();
// return 'outside'
因此,间接调用时,eval 并不会修改调用函数作用域内的任何东西。JS 解释器有 fast path 和 slow path 两种模式,当直接调用 eval 时,解释器处于 slow path。因为此时作用域是不可控的,需要监听整个作用域,不能应用 v8 的一些编译优化,相应的编译效率也会比 fast path 低。
大家抵制 eval 的原因主要是以下几个原因:
- 降低性能。具体原因上文已经提到了,网上一些文章甚至说 eval() 会拖慢性能 10 倍。
- 安全问题。因为它的动态执行特性,给被求值的字符串赋予了太大的权力,于是大家担心可能因此导致 XSS 等攻击。
- 调试困难。eval 就像一个黑盒,其执行的代码很难进行断点调试。
类似资料: