JavaScript 解析JSON必须用JSON.parse()而非eval()以防XSS,生成时需处理循环引用和不可序列化值,解析前应校验数据来源与类型,大数据量需流式解析或懒加载。
JavaScript 解析和生成 JSON 主要靠内置的 JSON.parse() 和 JSON.stringify(),它们快、标准、无需依赖,但用错容易引发安全漏洞或性能问题。
解析 JSON:别用 eval,始终用 JSON.parse
JSON.parse() 是唯一安全可靠的解析方式。它严格校验 JSON 格式,拒绝执行任意代码;而 eval() 或构造函数方式会执行字符串中的 JavaScript 表达式,存在严重 XSS 和代码注入风险。
- ✅ 正确:
const data = JSON.parse('{"name":"Alice","age":30}'); - ❌ 危险:
eval('{"name":"Alice", "age":30}'); // 可能执行恶意语句 - ⚠️ 注意:JSON 字符串必须是双引号包裹的键名和字符串值,单引号或尾逗号会导致解析失败
生成 JSON:警惕循环引用和不可序列化值
JSON.stringify() 会跳过函数、undefined、Symbol 类型,遇到循环引用直接抛错(TypeError: Converting circular structure to JSON)。
- 用
replacer参数过滤敏感字段或转换值,例如:JSON.stringify(obj, ['name', 'email']) - 处理循环引用可提前克隆并剥离引用,或使用第三方库如
flatted或自定义 replacer 检测并替换 - 日期对象默认转为 ISO 字符串,若需自定义格式,可通过 replacer 处理:
if (value instanceof Date) return value.toISOString();
安全注意事项:服务端信任不可靠,客户端不校验不解析
前端解析的 JSON 数据来源必须可信。即使来自自家 API,也应假设传输中可能被篡改(如中间人攻击、CDN 缓存污染)。
立即学习“Java免费学习笔记(深入)”;
- 对关键字段做运行时类型检查,例如:
if (typeof data.id !== 'number') throw new Error('Invalid id'); - 避免将解析结果直接用于 DOM 插入(如
innerHTML),防止 XSS;优先用textContent或模板引擎做转义 - 不要在 JSON 中嵌入可执行内容(如 base64 脚本、内联事件字符串),后端也应做输入过滤
性能注意事项:大体积 JSON 要节制解析与深拷贝
解析 10MB 以上 JSON 可能阻塞主线程数秒,导致页面卡死;频繁 stringify 大对象也会触发大量内存分配。
- 前端接收大数据时,考虑流式解析(如
stream-json)或分页/懒加载结构 - 避免在循环中反复
JSON.stringify()相同对象;必要时缓存字符串结果 - 深拷贝需求优先用结构化克隆(
structuredClone(),现代浏览器支持)而非 JSON 序列化反序列化,后者丢失原型、函数、undefined 等且更慢
不复杂但容易忽略。用对 API、守住数据边界、量级上来时换方案,JSON 就很稳。
