忘记在哪本书中看到过这样一句话,eval()是一个魔鬼。
平时在处理用Ajax请求的JSON数据时,有些人会用eval。这中间存在安全隐患。还有的是,在使用定时函数,setInterval()、setTimeout()时,有些写法也会导致类似eval()的隐患。
例如:
setTimeout("myFunc()" , 1000);
setTimeout("myFunc(1,2,3)" , 1000);
new Function()构造函数和eval()比较类似,但new Function()的代码是在局部函数空间中运行,因此代码中任何采用var定义的变量不会自动成为全局变量。
另一种解决方案是把eval()调用封装在一个即时函数中。
console.log(typeof un); //undefined
console.log(typeof deux); //undefined
console.log(typeof trois); //undefined
var jsstring = " var un = 1 ; console.log(un);";
eval(jsstring); //输出 "1"
jsstring = " var deux= 2 ; console.log(deux);";
new Function(jsstring)(); //输出 "2"
jsstring = " var trois= 3 ; console.log(trois);";
(function(){
eval(jsstring);
}()) //输出 "3"
console.log(typeof un); //Number
console.log(typeof deux); //undefined
console.log(typeof trois); //undefined
二者另外一个区别是eval()会影响到作用域链,而无论在哪里执行Function,它都仅仅只能看到全局作用域。
栗子
(function(){
var local = 1;
eval("local = 3 ; console.log(local);"); //"3"
console.log(local); //"3"
}());
(function(){
var local = 1;
Function("console.log(typeof local);")(); //undefined
}());