今天练习ajax时,用到了eval()函数【ajax返回的文本字符串】,但相关知识点已记不太清楚了,于是就去查找相关资料,做了以下整理。
1:eval()是什么?
eval()方法就像是一个完整的ECMAScript解析器,即要执行的ECMAScript(或JavaScript)的自符串的解析器。
Eg:
eval("alert(11)")
//等价于
alert(11);
2:eval()在函数中的字符串解析规则
解析器发现代码中调用 eval() 方法时,它会将传入的参数当作实际的 ECMAScript 语句来解析,然后把执行结果插入到原位置。通过eval() 执行的代码被认为是包含该次 调 用的执行环境的一部分,因此被执行的代码具有与该执行环境相同的作用域链。
Eg:
eval("function sayHi() { alert('hi'); }");
sayHi();
3:使用eval()函数的注意事项
在 eval() 中创建的任何变量或函数都不会被提升,因为在解析代码的时候,它们被包含在一个字符串中;它们只在eval() 执行的时候创建。严格模式下,在外部访问不到 eval() 中创建的任何变量或函数,因此前面两个例子都会导致错误。
同样,在严格模式下,为 eval 赋值也会导错误。
4:eval()函数的缺点
4.1. eval 不容易调试:
在 chromeDev 等环境下,在 eval 处是不能打断点的;
4.2. eval 的性能低:
现代浏览器中有两种编译模式:fast path 和 slow path,fast path 是编译那些稳定且可预测的代码,而 eval 明显是不可预测,所以编译的时间会很慢。
4.3. 安全问题:
这也是我觉得最主要的原因,eval 在处理不确定字符串的时候,会引起 XSS(跨站脚本攻击)。而且不光是eval,其他方式也可能引起安全问题。比如:莫名其妙给你 注入一个<script src="">标签,或者一段来历不明的JSON-P请求,再或者就是Ajax请求中的eval代码…所以啊,只要你的信息源不安全,你的代码就不安全。不单单是因为eval 引起的。
综合以上来说,尽量少在函数中使用eval()函数,特别是在不知道一些数据来源时尽量不使用。
如有错误地方,欢迎大家指正交流,共同进步。