码迷,mamicode.com
首页 > Web开发 > 详细

js中解析json时候的eval和$.parseJSON()的区别以及JSON.stringify()

时间:2017-08-16 11:39:55      阅读:176      评论:0      收藏:0      [点我收藏+]

标签:木马   操作   json格式   .net   目的   res   方法   ase   ref   

1.第一个区别是:安全性

      json格式非常受欢迎,而解析json的方式通常用JSON.parse()但是eval()方法也可以解析,这两者之间有什么区别呢?
      JSON.parse()之可以解析json格式的数据,并且会对要解析的字符串进行格式检查,如果格式不正确则不进行解析,而eval()则可以解析任何字符串,eval是不安全的

    如:

var str = ‘alert(1000.toString())‘;  
eval(str);  
JSON.parse(str); 

   用eval可以解析,并且会弹出对话框,而用JSON.parse()则解析不了。 其实alert并没有什么坏处,可怕的是如果用恶意用户在json字符串中注入了向页面插入木马链接的脚本,用eval也是可以操作的,而用JSON.parse()则不必担心这个问题。
   注意:某些低级的浏览器尚不支持JSON.parse()

 

 

2.第二个区别:JSON.parse()解析的必须是json格式的字符串要不报错,而eval()则没有这么严格

   在这里“json格式的字符串”是指要求指定的字符串必须符合严格的JSON格式,例如:属性名称必须加双引号、字符串值也必须用双引号。
   如果传入一个格式不"完好"的JSON字符串将抛出一个js异常

    json的解析方法共有两种:eval 和 JSON.parse(),如:

var jsonStr= ‘{"name":"lulu", "sex":"female"}‘;  
var evalJson=eval(‘(‘+jsonStr+‘)‘);  
var jsonParseJson=JSON.parse(jsonStr);  

  这样就把json格式的字符串jsonStr转换成了JSON对象。

 

但是区别是:

var age = 27;  
var jsonStr= ‘{"name":"lulu", "sex":"female","age":++age}‘;  
var evalJson=eval(‘(‘+jsonStr+‘)‘); //不报错此时age的值是28  
var jsonParseJson=JSON.parse(jsonStr);//报错  

  

从上面eval()函数的用法我们可以看出eval()函数在解析json格式的字符串时要加上圆括号如eval(‘(‘+jsonStr+‘)‘),这是因为:

     eval本身的问题。 由于json是以”{}”的方式来开始以及结束的,在JS中,它会被当成一个语句块来处理,所以必须强制性的将它转换成一种表达式。
加上圆括号的目的是迫使eval函数在处理JavaScript代码的时候强制将括号内的表达式(expression)转化为对象,而不是作为语句(statement)来执行。举一个例子,例如对象字面量{},如若不加外层的括号,那么eval会将大括号识别为JavaScript代码块的开始和结束标记,那么{}将会被认为是执行了一句空语句。

 

 

 

 

JSON.stringify()

   JSON.stringify()是把json数据转化成json格式的字符串如:
var jsonObj = {"name":"lulu","sex":"female"};  
var jsonStr = JSON.stringify(jsonObj);

  

结果是:

 

   ‘{"name":"lulu", "sex":"female"}‘

js中解析json时候的eval和$.parseJSON()的区别以及JSON.stringify()

标签:木马   操作   json格式   .net   目的   res   方法   ase   ref   

原文地址:http://www.cnblogs.com/mmykdbc/p/7371821.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!