1)因为eval必须运行编译器,所以效率低。同时js除了显式的eval外,还有隐式调用eval,如Function构造函数,setTimeout,setInterval函数传递字符串参数的形式。如setTimeout(“obj.show1()”,100)和setTimeout(obj.show1,100);是不一样的。所以在使用 setTimeout
和 setInterval
等 function 的时候,最好传入 function 的引用,而不是字符串。
2)减弱了Web应用的安全性,因为他被赋予太多的权限。因此Ajax获取服务器的数据解析时候不用eval,而是用JSON.parse以及JSON.stringify
可以通过两种方式解除安全风险:带注释的JSON以及带前缀的JSON,这两种方式就是Dojo中避免JSON劫持的方法
3)没有eval的代码比有eval的代码快100倍以上,这是因为js在执行前会进行类似预编译的操作:首先会创建一个当前执行环境的活动对象,并将var声明的变量设置为活动对象的属性,但此时这些变量的值都是undefined,还会将以function定义的函数也添加为活动对象的属性,而他们的值正是函数的定义。如果使用了eval,那么eval中的代码,也就是字符串无法预先识别其上下文,无法被提前解析和优化,即无法进行预编译的操作,所以代码性能会大幅度降低。
例1:直接在函数里调用eval不会污染全局变量
function Test2()
{
eval('var c=1;');
}
Test2();
alert(c);//报错,,eval被当作关键字使用(eval在JS中也是关键字),只在局部变量使用!
例2:(window.eval可以在全局中访问到)
function Test1()
{
window.eval('var b=1;');
}
Test1();
alert(b);//打印1
例3:(将eval函数变成局部变量也可以在全局访问)
function Test()
{
var val=eval;
val('var a=1;');
}
Test();
alert(a);//打印1