JSON.parse()是唯一安全的解析方式,因它严格校验语法、拒绝非法格式且不执行代码;eval()和Function构造函数易致XSS且绕过校验,直接使用响应体字符串则无法访问属性。
JSON 解析必须用 JSON.parse(),不能用 eval() 或构造函数;操作 JSON 数据本质是操作普通 JavaScript 对象,但需警惕引用、深浅拷贝和循环引用问题。
为什么 JSON.parse() 是唯一安全的解析方式
浏览器和 Node.js 环境中,JSON.parse() 是唯一被标准认可、经过严格语法校验的 JSON 解析入口。它拒绝非法格式(如尾部逗号、单引号、undefined),避免执行任意代码。
常见错误现象:
- 用
eval('{"a":1}')—— 可能执行恶意脚本,已被现代 Linter(如 ESLint)标记为no-eval - 用
new Function('return ' + str)()—— 同样绕过 JSON 格式校验,且性能差 - 直接把后端返回的响应体当对象用(没调用
JSON.parse())—— 得到的是字符串,访问.data会是undefined
正确做法:
立即学习“Java免费学习笔记(深入)”;
try {
const data = JSON.parse(responseBody);
} catch (e) {
// e.message 通常是 "Unexpected token ..." 或 "Unexpected end of JSON input"
console.error('JSON 解析失败:', e.message);
}
JSON.stringify() 的三个常用陷阱
JSON.stringify() 看似简单,但实际使用中容易忽略序列化限制和行为细节:
- 函数、
undefined、Symbol 类型的键或值会被**静默丢弃**(不是报错) - 循环引用对象会直接抛出
TypeError: Converting circular structure to JSON - 日期对象转成字符串后是 ISO 格式(
"2023-10-05T12:34:56.789Z"),丢失时区信息或自定义格式
示例:
const obj = { a: 1, b: () => {}, c: undefined, d: new Date() };
console.log(JSON.stringify(obj)); // {"a":1,"d":"2023-10-05T12:34:56.789Z"}
若需保留函数或处理循环引用,必须传入自定义 replacer 函数或用第三方库(如 flatted)。
修改 JSON 数据前必须明确:你操作的是对象,不是“JSON”
JSON 是一种数据交换格式(字符串),一旦用 JSON.parse() 解析,得到的就是普通 JS 对象/数组。所有后续操作都是对内存中对象的读写,与“JSON”本身无关。
关键注意事项:
- 直接赋值修改(
obj.name = "new")会影响原对象,若该对象被多处引用,可能引发意外副作用 - 想安全修改,应先深拷贝:
structuredClone(obj)(现代环境)、JSON.parse(JSON.stringify(obj))(仅限纯数据,不支持函数/Date/Map/Set)或使用lodash.cloneDeep() - 删除字段用
delete obj.key,但注意它不会触发 Vue/React 的响应式更新(需用响应式 API 替代)
服务端返回的 JSON 响应体需要手动解析
Fetch 和 Axios 默认**不会自动调用 JSON.parse()**,即使响应头是 Content-Type: application/json。
常见错误写法:
fetch('/api/user')
.then(res => res.json()) // ✅ 正确:res.json() 内部调用 JSON.parse()
.catch(err => console.error(err));
// ❌ 错误:忘记调用 .json(),拿到的是 Response 实例
fetch('/api/user')
.then(res => res) // 这里 res 是 Response 对象,不是解析后的数据
// ❌ 错误:手动调用 JSON.parse() 但没等 body 流完成
fetch('/api/user')
.then(res => JSON.parse(res.body)) // TypeError: Cannot parse non-string
Axios 用户注意:axios.get() 默认会自动解析 JSON(只要响应头匹配),但 axios.post() 的 data 字段仍需手动 JSON.stringify(),否则后端收不到结构化数据。
最易被忽略的一点:JSON 规范不支持注释、尾随逗号、单引号,任何编辑器里手写的“类 JSON”配置文件(比如 config.json)若含这些,用 fs.readFileSync() 读取后直接 JSON.parse() 必然失败 —— 这类文件本质是 JS 模块,应改用 require('./config.json')(Node.js)或改用 .cjs + import 并启用 JSON modules。
