js eval

• 参数
• 作用域

从入门以来，大家就一直说不要使用 eval 这邪恶的东西，然后我就信了（后面就没有去认真了解它），还是太年轻了；殊不知，这东西是非常好的东西，今天就来聊聊这“可恶”的东东；知己知彼，方能为我所用。

首先来了解一下，大家为啥这么反感 eval；

• eval 作用域不明确
• eval 接受并执行所传入的字符串，导致运行未知的代码，更重要的是，所传入的代码可以通过 eval 运行其他的脚本，导致受到攻击

参数

eval 只会对字符串进行解析执行并返回执行的结果，如果传入的参数不是字符串，那么不会做任何处理，原样返回； 例如：

var a1 = [1, 2, 3, 4];
var a2 = eval(a1); // non-string
a1 === a2;

var a3 = "2**3";
var a4 = eval(a3); // string
a4 === 8;

作用域

如果是直接调用 eval，作用域为 local；如果是间接调用，作用域为 global； 例如：

function test() {
  var x = 2,
    y = 4;
  console.log(eval("x + y")); // Direct call, uses local scope, result is 6
  var geval = eval; // equivalent to calling eval in the global scope
  console.log(geval("x + y")); // Indirect call, uses global scope, throws ReferenceError because `x` is undefined
  (0, eval)("x + y"); // another example of Indirect call
}

我还记得入门时对 eval 的使用仅限于解析 json 字符串转成对象，一定要加括号，不加就会报错；和JSON.parse解析报错的信息不一样；至今才知道，var obj = {a: 1}转换成字符串是这样"{"a": 1}"；然后 eval 解析字符串时，会把字符串当做执行语句，当解析大括号({)时会被当做语句块；执行冒号(:)时就遇到语法错误。这和正常写代码{"a": 1}这样也会报错，要想解析成对象，需要加括号来表示里面不是一个语句块；

var obj = { a: 1 };
var str = JSON.stringify(obj);

eval("(" + str + ")") === { a: 1 };
// 等同于
JSON.parse(str);