json.stringify() 无法处理函数、undefined、symbol 和循环引用,会静默丢弃或抛错;json.parse() 仅支持标准 json 格式,对语法极其敏感;date、bigint、map/set 等需手动转换;解析不可信输入是安全的,但不可替代 eval。
JSON.stringify() 不能处理函数、undefined、Symbol 和循环引用
直接调用 JSON.stringify() 序列化对象时,遇到函数、undefined、Symbol 值或对象内部存在循环引用,会静默丢弃或抛错。比如:
const obj = {
name: "Alice",
fn: () => {},
id: undefined,
sym: Symbol("key"),
self: null
};
obj.self = obj;
<p>JSON.stringify(obj); // '{"name":"Alice","self":{}}' —— fn、id、sym 全没了,且循环引用被截断成空对象-
function和undefined字段被完全忽略(不报错) -
Symbol键名和键值均不可序列化,会被跳过 - 循环引用会导致
TypeError: Converting circular structure to JSON(除非提前断开) - 如果需要保留函数逻辑,得先手动转为字符串或用其他序列化方案(如
serialize-javascript)
JSON.parse() 对输入格式极其敏感,空白和引号必须严格符合规范
JSON.parse() 不是“宽松解析器”,它只接受标准 JSON 格式:双引号、无尾逗号、无单引号、无注释、数字不能以 0 开头(如 0123)。常见失败场景:
JSON.parse("{name: 'Alice'}"); // SyntaxError —— 单引号 + 未引号的 key
JSON.parse('{"age": 0123}'); // SyntaxError —— 八进制字面量不合法
JSON.parse('{"msg": "hi",}'); // SyntaxError —— 尾逗号不允许
JSON.parse('{"data": null }'); // ✅ 正确(注意:null 是合法 JSON 值)-
前端接收后端响应时,务必确认 Content-Type 是
application/json,且响应体是纯 JSON 字符串(不是 HTML 包裹的 JSON) - 从
localStorage读取时,先做非空和格式校验:try { JSON.parse(str) } catch (e) { /* 处理解析失败 */ } - 不要用
JSON.parse()解析用户输入的任意文本——它不是通用数据解析工具
日期、BigInt、Map/Set 等类型需手动转换
原生 JSON.stringify() 和 JSON.parse() 不支持 Date、BigInt、Map、Set 等类型,序列化后信息丢失或报错:
立即学习“Java免费学习笔记(深入)”;
JSON.stringify(new Date()); // '"2024-05-20T08:12:34.567Z"' —— 变成字符串,但反解析得不到 Date 实例
JSON.stringify(123n); // TypeError: Do not know how to serialize a BigInt
JSON.stringify(new Map([['a', 1]])); // '{}' —— 空对象- 日期建议统一转为 ISO 字符串,并在解析后用
new Date(str)恢复 -
BigInt需显式转为字符串(String(123n)),解析后再用BigInt(str)还原;注意JSON.stringify()第二个参数(replacer)可拦截处理 -
Map/Set推荐先转为数组:Array.from(map)或[...map],解析后再重建实例 - 自定义类实例默认只序列化其可枚举属性,原型方法和私有字段(
#field)不会出现
安全风险:不要用 JSON.parse() 替代 eval() 来执行代码
有人误以为 JSON.parse('{ "x": console.log(1) }') 能执行语句,但这是错的——JSON 不支持表达式,上面这行会直接报语法错误。真正危险的是用 eval() 或 Function() 解析不可信输入,而 JSON 解析本身是安全的(只要输入确实是 JSON)。
- 如果后端返回的是 JSONP 或带前缀的 JSON(如
callback({...})),不能直接传给JSON.parse() - 从 URL 参数、
location.hash或第三方 API 拿到的字符串,必须先清洗或验证结构,再解析 - Node.js 中若用
require('./config.json'),本质是 Node 的 JSON 加载器,它比JSON.parse()更宽松(允许注释、尾逗号),但仅限于require场景,不可混用
实际项目中,最常被忽略的是循环引用检测和日期还原逻辑——它们往往在特定数据结构下才暴露,上线后难复现。
