首先，eval函数的作用是在当前作用域中执行一段JavaScript代码字符串，如下代码段1：

//代码段1var foo = 1;function test() {    var foo = 2;    eval('foo = 3');    return foo;}test(); // 3foo; // 1

但是 eval 只在被直接调用并且调用函数就是 eval 本身时，才在当前作用域中执行，如何理解这句话呢，以下代码段2就不属于对于eval的直接调用了，代码段2如下：

//代码段2var foo = 1;function test() {    var foo = 2;    var bar = eval;    bar('foo = 3');    return foo;}test(); // 2foo; // 3

上面的代码等价于在全局作用域中调用 eval，和下面两种写法(代码段3)效果一样：

//代码段3// 写法一：直接调用全局作用域下的 foo 变量var foo = 1;function test() {    var foo = 2;    window.foo = 3;    return foo;}test(); // 2foo; // 3 // 写法二：使用 call 函数修改 eval 执行的上下文为全局作用域var foo = 1;function test() {    var foo = 2;    eval.call(window, 'foo = 3');    return foo;}test(); // 2foo; // 3

在任何情况下我们都应该避免使用 eval 函数。99.9% 使用 eval 的场景都有不使用 eval 的解决方案。伪装的 eval定时函数 setTimeout 和 setInterval 都可以接受字符串作为它们的第一个参数。 这个字符串总是在全局作用域中执行，因此 eval 在这种情况下没有被直接调用。安全问题eval 也存在安全问题，因为它会执行任意传给它的代码， 在代码字符串未知或者是来自一个不信任的源时，绝对不要使用 eval 函数。

js混淆加密

可以保护JS代码，让js代码不能被他人随便使用，对于重要的代码，有必要用JShaman进行混淆加密保护。

比如上面第一段代码，经JShaman保护后，会成为：

var _0x4100=['foo\x20\x3d\x203'];(function(_0x31db44,_0x239b71){var _0x2460b0=function(_0x452af1){while(--_0x452af1){_0x31db44['\x70\x75\x73\x68'](_0x31db44['\x73\x68\x69\x66\x74']());}};_0x2460b0(++_0x239b71);}(_0x4100,0xe1));var _0x0410=function(_0x4b0595,_0x2137c4){_0x4b0595=_0x4b0595-0x0;var _0x2b9eab=_0x4100[_0x4b0595];return _0x2b9eab;};var foo=0x1;function test(){var _0x5e5a93=0x2;eval(_0x0410('0x0'));return _0x5e5a93;}test();foo;

结论

绝对不要使用 eval，任何使用它的代码都会在它的工作方式，性能和安全性方面受到质疑。 如果一些情况必须使用到 eval 才能正常工作，首先它的设计会受到质疑，这不应该是首选的解决方案， 一个更好的不使用 eval 的解决方案应该得到充分考虑并优先采用。