这两天在翻阅《JavaScript模式》的时候,看到一个标题,“避免使用eval()”,这不禁让我想探索一下,为什么要避免使用eval。
首先我们来先看一下eval()的定义:
执行一段字符串中的JavaScript代码。
摘要:
eval(code)
参数:
code
包含待求知的JavaScript表达式或待执行的JavaScript语句的字符串。
返回:
求值后的代码的值,如果存在对应的值的话。
异常:
如果code不是合法的JavaScript代码,则eval()将抛出一个SyntaxError。如果在对code求值的过程中发生了错误,则eavl()将传播这个错误。
也就是说,eavl()是一个用于执行一段JavaScript代码字符串的全局方法。如果code包含一个表达式,则会对表达式求值并返回这个值。
那大概能知道为什么避免使用eval()了。
1.它可以将任意一个字符串当作JavaScript代码来执行。
2.会存在一些安全隐患,因为这样做有可能执行被篡改过的代码(例如来自网络的代码)。