eval

避免在不必要的情況下使用 eval
eval() 是一個(gè)危險(xiǎn)的函數(shù)， 他執(zhí)行的代碼擁有著執(zhí)行者的權(quán)利。如果你用 eval() 運(yùn)行的字符串代碼被惡意方（不懷好意的人）操控修改，您最終可能會(huì)在您的網(wǎng)頁/擴(kuò)展程序的權(quán)限下，在用戶計(jì)算機(jī)上運(yùn)行惡意代碼。更重要的是，第三方代碼可以看到某一個(gè)eval()被調(diào)用時(shí)的作用域，這也有可能導(dǎo)致一些不同方式的攻擊。相似的 Function 就不容易被攻擊。

eval() 通常比替代方法慢，因?yàn)樗仨氄{(diào)用 JS 解釋器，而許多其他結(jié)構(gòu)則由現(xiàn)代 JS 引擎進(jìn)行優(yōu)化。

在常見的案例中我們都會(huì)找更安全或者更快的方案去替換 eval()

eval函數(shù)接受字符串，然后把這個(gè)字符串當(dāng)作js代碼去運(yùn)行，返回運(yùn)行的結(jié)果。

eval('({"ok":"true"})')

相當(dāng)于運(yùn)行

({"ok":"true"})

返回對象{ok: "true"}。

個(gè)人覺得需要注意的點(diǎn)是兩邊為什么要加括號？
因?yàn)?code>{}不僅可以用來聲明對象，還表示塊級作用域，
如果兩邊不加括號，會(huì)把{}當(dāng)成塊級作用域解析，就會(huì)報(bào)語法錯(cuò)誤；
加上括號，會(huì)把{}當(dāng)作對象聲明處理，所以就會(huì)生成一個(gè)新的對象，不會(huì)報(bào)語法錯(cuò)誤。

eval() -- 你就想象成寫了一段代碼給瀏覽器解析，性質(zhì)是一樣的
如 let str = 'x={"ok":"true"}'; eval(str); 執(zhí)行之后 會(huì)在當(dāng)前作用域中創(chuàng)建一個(gè)x的變量 賦值為 {ok:'true'}
你上面的例子 eval('(' + str + ')'); <==> 等價(jià)于直接在瀏覽器中寫了一個(gè) {ok:'true'}
由于不是合格的表達(dá)式，eval中在兩邊加了括號