本文详细解析了在JavaScript开发过程中避免使用eval的原因,包括其难以调试、性能低下及严重的安全隐患。文章同时提供了替代eval的推荐方法,旨在帮助开发者构建更加安全、高效且易于维护的代码。
在 js 的学习过程中,经常会看到 不推荐使用 eval,甚至将 eval 比为 evil(恶魔)。本人也是觉得,如果没有十足的必要,就不要用 eval。eval 的作用是能够将一段 js 文本字符串变成可执行的 js 代码,与此有类似功能的还有:Function、setInterval、setTimeout。不建议使用 eval 的理由有以下几点:
1. eval 不容易调试:
在 chromeDev 等环境下,在 eval 处是不能打断点的;
2. eval 的性能低:
现代浏览器中有两种编译模式:fast path 和 slow path,fast path 是编译那些稳定且可预测的代码,而 eval 明显是不可预测,所以编译的时间会很慢。
3. 安全问题:
这也是我觉得最主要的原因,eval 在处理不确定字符串的时候,会引起 XSS(跨站脚本攻击)。而且不光是eval,其他方式也可能引起安全问题。比如:莫名其妙给你注入一个<script src="">标签,或者一段来历不明的JSON-P请求,再或者就是Ajax请求中的eval代码…所以啊,只要你的信息源不安全,你的代码就不安全。不单单是因为eval引起的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
