我相信eval对于客户端web应用程序来说是一个非常强大的功能，并且是安全的。和JavaScript一样安全，但JavaScript不安全。:-)安全问题本质上是服务器端的问题，因为现在，使用像Firebug这样的工具，你可以攻击任何JavaScript应用程序。

虽然在许多情况下，您可以通过将脚本连接在一起并动态运行来完成需要完成的任务，但您通常可以使用更强大且可维护的技术。Eval很少是正确的选择。:关联数组表示法(obj["prop"]与obj.prop相同)，闭包，面向对象技术，函数技术-请使用它们。

我相信eval对于客户端web应用程序来说是一个非常强大的功能，并且是安全的。和JavaScript一样安全，但JavaScript不安全。:-)安全问题本质上是服务器端的问题，因为现在，使用像Firebug这样的工具，你可以攻击任何JavaScript应用程序。

只要可以确定代码的源代码来自您或实际用户，就没有理由不使用eval()。尽管他可以操纵发送到eval()函数的内容，但这并不是一个安全问题，因为他能够操纵网站的源代码，因此可以改变JavaScript代码本身。

所以…何时不使用eval()?Eval()只应该在第三方有可能更改它的情况下才使用。比如拦截客户端和服务器之间的连接(但如果这是一个问题，请使用HTTPS)。你不应该用eval()来解析别人写的代码，比如在论坛上。

我看到有人提倡不要使用eval，因为这是邪恶的，但我也看到同样的人动态地使用Function和setTimeout，所以他们在幕后使用eval:D

顺便说一句，如果你的沙盒不够确定(例如，如果你在一个允许代码注入的网站上工作)，eval是你的最后一个问题。安全的基本规则是所有输入都是邪恶的，但对于JavaScript，甚至JavaScript本身也可能是邪恶的，因为在JavaScript中，你可以覆盖任何函数，你只是不能确定你使用的是真正的函数，所以，如果恶意代码在你之前启动，你不能相信任何JavaScript内置函数:D

现在这篇文章的尾声是:

如果你真的需要它(80%的时间不需要eval)，并且你确定你在做什么，只使用eval(或更好的Function;))，闭包和OOP覆盖了80/90%的情况，其中eval可以使用另一种逻辑替换，其余是动态生成的代码(例如，如果你正在编写解释器)，正如你已经说过的评估JSON(这里你可以使用Crockford安全评估;))

我认为评价被证明是正确的情况将是罕见的。”你更有可能认为它是合理的，而不是在实际合理的情况下使用它。

安全问题最为人所知。但也要注意JavaScript使用JIT编译，这与eval的工作效果很差。Eval有点像编译器的黑匣子，JavaScript需要能够提前(在某种程度上)预测代码，以便安全正确地应用性能优化和范围。在某些情况下，性能影响甚至会影响eval之外的其他代码。

如果你想了解更多: https://github.com/getify/You-Dont-Know-JS/blob/master/scope%20%26%20closures/ch2.md#eval