这可能存在安全风险，它具有不同的执行范围，并且效率非常低，因为它为代码的执行创建了一个全新的脚本环境。更多信息请参见这里:eval。

不过，它非常有用，适度使用可以添加许多很好的功能。

我相信这是因为它可以从字符串执行任何JavaScript函数。使用它可以使人们更容易向应用程序中注入恶意代码。

如果你想让用户输入一些逻辑函数并计算与或，那么JavaScript的eval函数是完美的。我可以接受两个字符串和eval(ate) string1 === string2等。

eval() is very powerful and can be used to execute a JS statement or evaluate an expression. But the question isn't about the uses of eval() but lets just say some how the string you running with eval() is affected by a malicious party. At the end you will be running malicious code. With power comes great responsibility. So use it wisely is you are using it. This isn't related much to eval() function but this article has pretty good information: http://blogs.popart.com/2009/07/javascript-injection-attacks/ If you are looking for the basics of eval() look here: https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/eval

通常只有在传递eval用户输入时才会出现问题。

编辑:正如Benjie的评论所建议的，这似乎不再是chrome v108的情况，似乎chrome现在可以处理已计算脚本的垃圾收集。

VVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVVV

垃圾收集

浏览器的垃圾收集不知道被评估的代码是否可以从内存中删除，所以它只是一直存储它，直到页面被重新加载。 如果你的用户只是在你的页面上停留很短的时间，这不是太糟糕，但这可能是一个webapp的问题。

下面是演示该问题的脚本

https://jsfiddle.net/CynderRnAsh/qux1osnw/

document.getElementById("evalLeak").onclick = (e) => {
  for(let x = 0; x < 100; x++) {
    eval(x.toString());
  }
};

像上面代码这样简单的代码会导致存储少量内存，直到应用程序死亡。 当被赋值的脚本是一个巨大的函数，并且在间隔时间调用时，情况会更糟。