javascript如何解析和生成JSON_有哪些安全和性能注意事项？

JavaScript 解析JSON必须用JSON.parse()而非eval()以防XSS，生成时需处理循环引用和不可序列化值，解析前应校验数据来源与类型，大数据量需流式解析或懒加载。

JavaScript 解析和生成 JSON 主要靠内置的 JSON.parse() 和 JSON.stringify()，它们快、标准、无需依赖，但用错容易引发安全漏洞或性能问题。

解析 JSON：别用 eval，始终用 JSON.parse

JSON.parse() 是唯一安全可靠的解析方式。它严格校验 JSON 格式，拒绝执行任意代码；而 eval() 或构造函数方式会执行字符串中的 JavaScript 表达式，存在严重 XSS 和代码注入风险。

• ✅ 正确：const data = JSON.parse('{"name":"Alice","age":30}');
• ❌ 危险：eval('{"name":"Alice", "age":30}'); // 可能执行恶意语句
• ⚠️ 注意：JSON 字符串必须是双引号包裹的键名和字符串值，单引号或尾逗号会导致解析失败

生成 JSON：警惕循环引用和不可序列化值

JSON.stringify() 会跳过函数、undefined、Symbol 类型，遇到循环引用直接抛错（TypeError: Converting circular structure to JSON）。

• 用 replacer 参数过滤敏感字段或转换值，例如：JSON.stringify(obj, ['name', 'email'])
• 处理循环引用可提前克隆并剥离引用，或使用第三方库如 flatted 或自定义 replacer 检测并替换
• 日期对象默认转为 ISO 字符串，若需自定义格式，可通过 replacer 处理：if (value instanceof Date) return value.toISOString();

安全注意事项：服务端信任不可靠，客户端不校验不解析

前端解析的 JSON 数据来源必须可信。即使来自自家 API，也应假设传输中可能被篡改（如中间人攻击、CDN 缓存污染）。

标签： javascript java html js 前端 json 大数据 浏览器 懒加载 后端 ai cdn stream