Duplicar posible:
Why exactly is eval evil?¿Por qué eval es inseguro en javascript?
leí personas afirman que eval no es seguro cuando se ejecuta en código de entrada del usuario arbitrario. Entiendo esto en otros idiomas que se ejecutan en el servidor que accede al sistema de archivos, etc. Sin embargo, ¿por qué es esto importante cuando se ejecuta código en un navegador? Después de todo, ¿no puedes simplemente disparar Firebug y escribir cualquier script arbitrario que quieras de todos modos? Entonces, ¿cómo es la evaluación diferente?
'eval() 'puede ser un vector de ataque XSS, si no tiene cuidado – PaoloVictor
explique un poco más –
Vea también http://stackoverflow.com/questions/197769/when-is-javascripts-eval-not-evil y http://stackoverflow.com/questions/1826859/is-there-ever-a-good-reason-to-use-eval – Phrogz