eval
eval
eval()函数会将传入的字符串当做JavaScript代码进行执行。
语法
eval(string)
参数
string一串表示JavaScript表达式,语句, 或者是一系列语句的字符串。表达式可以包括变量以及已存在对象的属性。
返回值
执行指定代码之后的返回值。如果返回值为空,返回undefined
描述
eval()是全局对象的一个函数属性。
eval()的参数是一个字符串。如果字符串表示的是表达式,eval()会对表达式进行求值。如果参数表示一个或多个JavaScript语句, 那么eval()就会执行这些语句。注意不要用eval()来执行一个四则运算表达式;因为 JavaScript 会自动为四则运算求值并不需要用eval来包裹。
如果要将算数表达式构造成为一个字符串,你可以用eval()在随后对其求值。比如,假如你有一个变量 x ,你可以通过一个字符串表达式来对涉及x的表达式延迟求值,将 "3 * x + 2",存储为变量,然后在你的脚本后面的一个地方调用eval()。
如果eval()的参数不是字符串,eval()将会将参数原封不动的返回。在下面的例子中,字符串构造器被指定,eval()返回了字符串对象而不是对字符串求值。
eval(new String('2 + 2') // returns a String object containing "2 + 2"
eval('2 + 2' // returns 4
你可以使用通用的的方法来绕过这个限制,如使用toString()
var expression = new String('2 + 2'
eval(expression.toString()
如果你间接的使用 eval(), 如通过一个引用来调用它而不是直接的调用eval。 从ECMAScript 5起它工作在全局作用域而不是局部作用域中;这就意味着,例如,下面的代码的作用声明创建一个全局函数,并且geval中的这些代码在执行期间不能在被调用的作用域中访问局部变量。
function test() {
var x = 2, y = 4;
console.log(eval('x + y') // Direct call, uses local scope, result is 6
var geval = eval; // equivalent to calling eval in the global scope
console.log(geval('x + y') // Indirect call, uses global scope, throws ReferenceError because `x` is undefined
(0, eval)('x + y' // another example of Indirect call
}
避免在不必要的情况下使用eval
eval() 是一个危险的函数, 他执行的代码拥有着执行者的权利。如果你用eval()运行的字符串代码被恶意方(不怀好意的人)操控修改,您可能会利用最终在用户机器上运行恶意方部署的恶意代码,并导致您失去您的网页或者扩展程序的权限。更重要的是,第三方代码可以看到某一个eval()被调用时的作用域,这也有可能导致一些不同方式的攻击。相似的Function就是不容易被攻击的。
eval()的运行效率也普遍的比其他的替代方案慢,因为他会调用js解析器,即便现代的JS引擎中已经对此做了优化。
在常见的案例中我们都会找更安全或者更快的方案去替换他
访问成员属性
你不应该去使用eval()来将属性名字转化为对象的属性属性。考虑下面的这个例子,被访问对象的属性在它被执行之前都会未知的。这里虽然可以被处理用eval:
var obj = { a: 20, b: 30 };
var propName = getPropName( // returns "a" or "b"
eval( 'var result = obj.' + propName
但是,这里并不是必须得使用eval()。事实上,这里并不支持这样使用。可以使用属性访问器进行代替,它更快而且更安全:
var obj = { a: 20, b: 30 };
var propName = getPropName( // returns "a" or "b"
var result = obj[ propName ]; // obj[ "a" ] is the same as obj.a
你还可以使用这个方法去访问子代的属性。如下:
var obj = {a: {b: {c: 0}}};
var propPath = getPropPath( // returns e.g. "a.b.c"
eval( 'var result = obj.' + propPath
这里则通过规避使用Eval()实现了循环获取子代的属性:
function getDescendantProp(obj, desc) {
var arr = desc.split('.'
while (arr.length) {
obj = obj[arr.shift()];
}
return obj;
}
var obj = {a: {b: {c: 0}}};
var propPath = getPropPath( // returns e.g. "a.b.c"
var result = getDescendantProp(obj, propPath
同样的方法也可实现设置子代的属性值:
function setDescendantProp(obj, desc, value) {
var arr = desc.split('.'
while (arr.length > 1) {
obj = obj[arr.shift()];
}
obj[arr[0]] = value;
}
var obj = {a: {b: {c: 0}}};
var propPath = getPropPath( // returns e.g. "a.b.c"
var result = setDescendantProp(obj, propPath, 1 // test.a.b.c will now be 1
使用函数而非代码段
JavaScript拥有first-class functions,这意味着你可以将函数直接作为参数传递给其他接口,并将他们保存在变量中或者对象的属性中等等,很多DOM的API都用这种思路进行设计,你也可以(或者应该)这样子设计你的代码:
// instead of setTimeout(" ... ", 1000) use:
setTimeout(function() { ... }, 1000
// instead of elt.setAttribute("onclick", "...") use:
elt.addEventListener('click', function() { ... } , false
Closures 也可以作为一种创建参数化函数而不连接字符串的方法.
解析 JSON(将字符串转化为JavaScript对象)
如果你在调用eval()传入的字符串参数中更包含数据(如:一个数组“[1,2,3]”)而不是代码,你应该考虑将其转换为JSON对象,这允许你用JavaScript语法的子集来表示数据。在扩展中下载JSON和JavaScript
提示:因为JSON语法子集相对于JavaScript语法子集比较有局限性,很多在JavaScript中可用的特性在JSON中就不起作用了,如:后缀都好JSON就不支持,并且,对象中的属性名在JSON中必须用引号括起来,所以在使用JSON序列化将字符串转化为JSON对象时需确认字符串格式
尽量传递数据而非代码
例如,设计用于擦除网页内容的扩展可能会在XPath中定义规则,而不是JavaScript代码。
执行这段代码应加以权限限制
如果你必须执行这段代码, 应考虑以更低的权限运行. 这建议主要应用于Components.utils.evalInSandbox 可扩展的标记语言
例子
举例: 使用eval
在下面的代码中,两种声明都返回了42。第一种是对字符串 "x + y + 1"求值;第二种是对字符串 "42"求值。
var x = 2;
var y = 39;
var z = '42';
eval('x + y + 1' // returns 42
eval(z // returns 42
举例: 使用 eval 对JavaScript声明求值
下面的例子使用eval() 对str字符串求值。这个字符串包含了JavaScript声明,如果x等于5,就打开一个Alert 对话框,然后对 z 赋值。 否则就对z赋值0。 当第二个声明被执行, eval 将会将str表达式执行,然后会对声明集合求值,并将返回值赋值给z。
var x = 5;
var str = "if (x == 5) {console.log('z is 42' z = 42;} else z = 0;";
console.log('z is ', eval(str)
最后的表达式被计算
eval 将会返回对最后一个表达式的求值结果。
var str = 'if ( a ) { 1 + 1; } else { 1 + 2; }';
var a = true;
var b = eval(str // returns 2
console.log('b is : ' + b
a = false;
b = eval(str // returns 3
console.log('b is : ' + b
eval 作为字符串定义函数需要“(”和“)”作为前缀和后缀
var fctStr1 = 'function a() {}'
var fctStr2 = '(function a() {})'
var fct1 = eval(fctStr1) // return undefined
var fct2 = eval(fctStr2) // return a function
规范
| Specification | Status | Comment |
|---|---|---|
| ECMAScript 1st Edition (ECMA-262) | Standard | Initial definition. |
| ECMAScript 5.1 (ECMA-262)The definition of 'eval' in that specification. | Standard | |
| ECMAScript 2015 (6th Edition, ECMA-262)The definition of 'eval' in that specification. | Standard | |
| ECMAScript Latest Draft (ECMA-262)The definition of 'eval' in that specification. | Living Standard | |
浏览器兼容性
| Feature | Chrome | Edge | Firefox (Gecko) | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
| Basic support | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) |
| Feature | Android | Chrome for Android | Edge | Firefox Mobile (Gecko) | IE Mobile | Opera Mobile | Safari Mobile |
|---|---|---|---|---|---|---|---|
| Basic support | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) | (Yes) |
