由一道題目引發(fā)的思考：eval能訪問上下文，new Function只能構(gòu)建自己的一個私有作用域。

new Function()的用法：

• 最后一個參數(shù)是函數(shù)的 body(函數(shù)體),類型為 string;
• 前面的參數(shù)都是 索要構(gòu)造的函數(shù)的參數(shù)(名字)

var fn = new Function('a', 'b', 'return a * b');  

var a,b,c;
(function(){
  eval('var b = 2');
  (1, eval)('var c = 3');
  (new Function('var a = 4'))();
  console.log('a: ' + a);  // undefined
  console.log('b: ' + b);  // 2
  console.log('c: ' + c);  // 3
})()
console.log('a: ' + a);  // undefined
console.log('b: ' + b);  // undefined
console.log('c: ' + c);  // 3

var a,b,c;
(function(){
 // eval('var b = 2');
  // 調(diào)用當前作用域
  var b = 2;
 
  // (1, eval)('var c = 3');
  // (0, eval)()是間接的eval調(diào)用，會在全局范圍內(nèi)執(zhí)行執(zhí)行代碼
  // 逗號操作符，括號表達式，返回的是最后一個掛載在window上的eval
  window.eval('var c = 3');

  // (new Function('var a = 4'))();
  // 申明一個匿名函數(shù)
  (function() {
    var a = 4;
  })

  console.log('a: ' + a);  // undefined
  console.log('b: ' + b);  // 2
  console.log('c: ' + c);  // 3
})()
console.log('a: ' + a);  // undefined
console.log('b: ' + b);  // undefined
console.log('c: ' + c);  // 3

思考：為什么要避免eval？

首先，eval函數(shù)的作用是在當前作用域中執(zhí)行一段JavaScript代碼字符串，但是 eval 只在被直接調(diào)用并且調(diào)用函數(shù)就是 eval 本身時，才在當前作用域中執(zhí)行

// code 1
var foo = 1;
function test() {
    var foo = 2;
    eval('foo = 3');
    return foo;
}
test(); // 3
foo; // 1

// code 2
var foo = 1;
function test() {
    var foo = 2;
    var bar = eval;
    bar('foo = 3');
    return foo;
}
test(); // 2
foo; // 3

code2與下面的code3和code4等價

var foo = 1;
function test() {
    var foo = 2;
    window.foo = 3;
    return foo;
}
test(); // 2
foo; // 3

var foo = 1;
function test() {
    var foo = 2;
    eval.call(window, 'foo = 3');
    return foo;
}
test(); // 2
foo; // 3

特別的(0, eval)(‘this’)

var window = this || (0, eval)('this')

這個表達式的作用：
因為在嚴格模式下，匿名函數(shù)中的this為undefined
為了防止在嚴格模式下window變量被賦予undefined，使用(0, eval)(‘this’)就可以把this重新指向window對象

  eval(); // <-- 調(diào)用括號左邊的表達式 — "eval" — 計算出一個引用
  (eval)(); // <-- 調(diào)用括號左邊的表達式 — "(eval)" — 計算出一個引用
  (((eval)))(); // <-- 調(diào)用括號左邊的表達式 — "(((eval)))" — 計算出一個引用
  (1,eval)(); // <-- 調(diào)用括號左邊的表達式 — "(1, eval)" — 計算出一個值
  (eval = eval)(); // <-- 調(diào)用括號左邊的表達式 — "(eval = eval)" — 計算出一個值

可以看出，間接調(diào)用計算出來的是一個值，而不是引用

如ECMAScript所說，這是因為兩個操作符 - （例子(1,eval)里的）逗號操作符和(例子(eval=eval)里的)等號操作符-對它的操作數(shù)執(zhí)行了GetValue。因此，(1,eval)和(eval = eval)計算出一個值，而eval 和 (eval)計算出的是一個引用。

（0, eval)('this')其實這里的this就是指向全局對象
這樣在es5的嚴格模式下，也能獲得全局對象的引用，而不是undefined了
另外：嚴格模式下，外部訪問不到eval()中創(chuàng)建的任何變量或函數(shù)，為eval賦值也會導(dǎo)致錯誤

偽裝的 eval

定時函數(shù) setTimeout 和 setInterval 都可以接受字符串作為它們的第一個參數(shù)。 這個字符串總是在全局作用域中執(zhí)行，因此 eval 在這種情況下沒有被直接調(diào)用。

安全問題

eval 也存在安全問題，因為它會執(zhí)行任意傳給它的代碼， 在代碼字符串未知或者是來自一個不信任的源時，絕對不要使用 eval 函數(shù)。

結(jié)論

絕對不要使用 eval，任何使用它的代碼都會在它的工作方式，性能和安全性方面受到質(zhì)疑。 如果一些情況必須使用到 eval 才能正常工作，首先它的設(shè)計會受到質(zhì)疑，這不應(yīng)該是首選的解決方案， 一個更好的不使用 eval 的解決方案應(yīng)該得到充分考慮并優(yōu)先采用。