JavaScript解析与生成JSON及安全要点

偷偷努力，悄无声息地变强，然后惊艳所有人！哈哈，小伙伴们又来学习啦~今天我将给大家介绍《如何用javascript解析和生成json数据_安全注意事项有哪些》，这篇文章主要会讲到等等知识点，不知道大家对其都有多少了解，下面我们就一起来看一吧！当然，非常希望大家能多多评论，给出合理的建议，我们一起学习，一起进步！

JSON.parse()和JSON.stringify()是JavaScript中唯一直接可用的原生JSON处理方法，其他库均基于它们封装；使用时需防范XSS、原型污染、静默丢失及响应体校验缺失等风险。

JSON.parse() 和 JSON.stringify() 是唯一直接可用的原生方法

JavaScript 没有“解析器类”或“生成器对象”，JSON.parse() 和 JSON.stringify() 是标准、安全、且浏览器/Node.js 全平台一致的唯一选择。任何第三方库（如 flatted、superjson）都是对这两个函数的封装或扩展，不能绕过它们的核心逻辑。

常见错误是试图用 eval() 或 Function() 解析 JSON 字符串——这等同于执行任意代码，只要输入含 {"x": "1; alert(1)"} 就会触发 XSS。

JSON.parse() 容易踩的坑：不处理异常、忽略 reviver 参数

JSON.parse() 遇到非法 JSON 会直接抛出 SyntaxError，不加 try/catch 会导致脚本中断。另外，它默认不会校验值类型或过滤敏感字段，比如解析含 __proto__ 或 constructor 的字符串可能干扰原型链。

• 始终包裹在 try/catch 中，不要假设输入可控
• 用 reviver 函数做基础清洗：过滤掉以 _ 开头的键、拒绝 undefined / function 类型的值
• 注意 reviver 无法阻止原型污染，需额外检查键名是否为 "__proto__" 或 "constructor"

try {
  const data = JSON.parse(input, (key, value) => {
    if (key === '__proto__' || key === 'constructor') return undefined;
    if (typeof value === 'function' || value === undefined) return undefined;
    return value;
  });
} catch (e) {
  console.error('Invalid JSON:', e.message);
}

JSON.stringify() 的隐式丢失：函数、undefined、Symbol、循环引用

JSON.stringify() 不是“深克隆”，它会静默丢弃：function、undefined、Symbol 键或值，以及遇到循环引用时直接报错 TypeError: Converting circular structure to JSON。

• 对象含 method() {} 或 cb: () => {} → 该属性彻底消失，无警告
• 键为 Symbol('id') → 整个键值对被忽略
• 存在 a: { b: {} }; a.b.a = a → 抛出错误，必须提前检测或用 replacer 过滤
• 日期对象转成 ISO 字符串，new Date() → "2024-05-20T12:34:56.789Z"，不是原始 Date 实例

const obj = { x: 1, y: () => {}, z: undefined, [Symbol('k')]: 'v' };
console.log(JSON.stringify(obj)); // {"x":1}

服务端交互时的双重风险：CSP 头缺失 + 响应体未校验

前端用 fetch().then(r => r.json()) 看似安全，但实际分两步：先拿到响应体（可能是 HTML/JS），再调用 JSON.parse()。如果后端返回错误页（如 500 HTML），r.json() 仍会尝试解析，大概率抛出语法错误——但这不是最危险的。

真正风险在于：攻击者若能控制响应体（如通过 SSRF、缓存投毒、中间人），返回一段看似合法 JSON 实际含恶意 JS 的内容，而前端又没校验 Content-Type: application/json，就可能误解析并执行。

• 检查 response.headers.get('content-type') 是否包含 'application/json'
• 避免在