关于JS中的eval()函数问题

今天练习ajax时，用到了eval()函数【ajax返回的文本字符串】，但相关知识点已记不太清楚了，于是就去查找相关资料，做了以下整理。
    1：eval()是什么？
          eval()方法就像是一个完整的ECMAScript解析器，即要执行的ECMAScript(或JavaScript)的自符串的解析器。
          Eg:

     eval("alert(11)")     //等价于     alert(11);

   2：eval()在函数中的字符串解析规则
         解析器发现代码中调用 eval() 方法时，它会将传入的参数当作实际的 ECMAScript 语句来解析，然后把执行结果插入到原位置。通过eval() 执行的代码被认为是包含该次 调    用的执行环境的一部分，因此被执行的代码具有与该执行环境相同的作用域链。
        Eg:

    eval("function sayHi() { alert('hi'); }");    sayHi();

   3：使用eval()函数的注意事项
       在 eval() 中创建的任何变量或函数都不会被提升，因为在解析代码的时候，它们被包含在一个字符串中；它们只在eval() 执行的时候创建。严格模式下，在外部访问不到          eval() 中创建的任何变量或函数，因此前面两个例子都会导致错误。
      同样，在严格模式下，为 eval 赋值也会导错误。
   4：eval()函数的缺点
       4.1. eval 不容易调试：
             在 chromeDev 等环境下，在 eval 处是不能打断点的；
       4.2. eval 的性能低：
             现代浏览器中有两种编译模式：fast path 和 slow path，fast path 是编译那些稳定且可预测的代码，而 eval 明显是不可预测，所以编译的时间会很慢。
      4.3. 安全问题：
              这也是我觉得最主要的原因，eval 在处理不确定字符串的时候，会引起 XSS（跨站脚本攻击）。而且不光是eval，其他方式也可能引起安全问题。比如：莫名其妙给你   注入一个<script src="">标签，或者一段来历不明的JSON-P请求，再或者就是Ajax请求中的eval代码…所以啊，只要你的信息源不安全，你的代码就不安全。不单单是因为eval 引起的。
    综合以上来说，尽量少在函数中使用eval()函数，特别是在不知道一些数据来源时尽量不使用。
    如有错误地方，欢迎大家指正交流，共同进步。