JavaScript解析与生成JSON的安全与性能指南

本文深入剖析了JavaScript中JSON解析与生成的核心实践，强调必须严格使用JSON.parse()替代eval()以杜绝XSS风险，谨慎处理循环引用、不可序列化值及日期等特殊类型，并指出前端绝不能盲目信任任何JSON数据源——需校验类型、过滤敏感字段、避免直接DOM注入；同时针对大数据场景，提出流式解析、懒加载和结构化克隆等性能优化方案，帮助开发者在安全与效率之间取得关键平衡。

JavaScript 解析和生成 JSON 主要靠内置的 JSON.parse() 和 JSON.stringify()，它们快、标准、无需依赖，但用错容易引发安全漏洞或性能问题。

解析 JSON：别用 eval，始终用 JSON.parse

JSON.parse() 是唯一安全可靠的解析方式。它严格校验 JSON 格式，拒绝执行任意代码；而 eval() 或构造函数方式会执行字符串中的 JavaScript 表达式，存在严重 XSS 和代码注入风险。

• ✅ 正确：const data = JSON.parse('{"name":"Alice","age":30}');
• ❌ 危险：eval('{"name":"Alice", "age":30}'); // 可能执行恶意语句
• ⚠️ 注意：JSON 字符串必须是双引号包裹的键名和字符串值，单引号或尾逗号会导致解析失败

生成 JSON：警惕循环引用和不可序列化值

JSON.stringify() 会跳过函数、undefined、Symbol 类型，遇到循环引用直接抛错（TypeError: Converting circular structure to JSON）。

• 用 replacer 参数过滤敏感字段或转换值，例如：JSON.stringify(obj, ['name', 'email'])
• 处理循环引用可提前克隆并剥离引用，或使用第三方库如 flatted 或自定义 replacer 检测并替换
• 日期对象默认转为 ISO 字符串，若需自定义格式，可通过 replacer 处理：if (value instanceof Date) return value.toISOString();

安全注意事项：服务端信任不可靠，客户端不校验不解析

前端解析的 JSON 数据来源必须可信。即使来自自家 API，也应假设传输中可能被篡改（如中间人攻击、CDN 缓存污染）。

• 对关键字段做运行时类型检查，例如：if (typeof data.id !== 'number') throw new Error('Invalid id');
• 避免将解析结果直接用于 DOM 插入（如 innerHTML），防止 XSS；优先用 textContent 或模板引擎做转义
• 不要在 JSON 中嵌入可执行内容（如 base64 脚本、内联事件字符串），后端也应做输入过滤

性能注意事项：大体积 JSON 要节制解析与深拷贝

解析 10MB 以上 JSON 可能阻塞主线程数秒，导致页面卡死；频繁 stringify 大对象也会触发大量内存分配。

• 前端接收大数据时，考虑流式解析（如 stream-json）或分页/懒加载结构
• 避免在循环中反复 JSON.stringify() 相同对象；必要时缓存字符串结果
• 深拷贝需求优先用结构化克隆（structuredClone()，现代浏览器支持）而非 JSON 序列化反序列化，后者丢失原型、函数、undefined 等且更慢

不复杂但容易忽略。用对 API、守住数据边界、量级上来时换方案，JSON 就很稳。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~